SonarQube 是一个开源的代码分析平台, 用来持续分析和评测项目源代码的质量。 通过SonarQube我们可以检测出项目中重复代码， 潜在bug， 代码规范，安全性漏洞等问题， 并通过SonarQube web UI展示出来。

　　1 Sonar简介

　　1.1 sonarQube是什么？

　　1、代码质量和安全扫描和分析平台。

　　2、多维度分析代码：代码量、安全隐患、编写规范隐患、重复度、复杂度、代码增量、测试覆盖率等。

　　3、支持25+编程语言的代码扫描和分析，包含java\python\C#\javascript\go\C++等。

　　4、涵盖了编程语言的静态扫描规则： 代码编写规范+安全规范。

　　5、能够与代码编辑器、CI/CD平台完美集成。

　　6、能够与SCM集成，可以直接在平台上看到代码问题是由哪位开发人员提交。

　　7、帮助程序猿写出更干净、更安全的代码。

　　静态扫描主要针对开发人员编写的源代码。

　　通过定义好的 代码质量和安全规则，对开发人员编写的代码进行扫描和分析。

　　将分析的结果多维护的呈现出来，以方便开发人员进行代码的优化和规范编写。

　　1.2 sonarQube如何工作？

　　sonar静态代码扫描由2部分组成：sonarQube平台，sonar-scanner扫描器。

　　sonarQube: web界面管理平台。

　　1）展示所有的项目代码的质量数据。

　　2）配置质量规则、管理项目、配置通知、配置SCM等。

　　sonarScanner: 代码扫描工具。

　　专门用来扫描和分析项目代码。支持20+语言。

　　代码扫描和分析完成之后，会将扫描结果存储到数据库当中，在sonarQube平台可以看到扫描数据。

　　sonarQube和sonarScanner之间的关系：

　　2 检测

　　Sonar是一个用于代码质量管理的开源平台，用于管理源代码的质量，可以从七个维度检测代码质量。

　　通过插件形式，可以支持包括java,C#,C/C++,PL/SQL,Cobol,JavaScrip,Groovy等等二十几种编程语言的代码质量管理与检测。

　　2.1 Rules提示

　　当然，这对于初学开发者来说是一个很好的教程，搞懂这些规则可以避免bugs的出现，提供自己的开发能力。

　　2.1.1 Rule界面

　　2.1.2 rule正确实例提示

　　2.2 糟糕的复杂度分布

　　文件、类、方法等，如果复杂度过高将难以改变，这会使得开发人员难以理解它们， 且如果没有自动化的单元测试，对于程序中的任何组件的改变都将可能导致需要全面的回归测试。

　　2.3 重复

　　显然程序中包含大量复制粘贴的代码是质量低下的 ， sonar可以展示源码中重复严重的地方。

　　2.4 缺乏单元测试

　　sonar可以很方便地统计并展示单元测试覆盖率。

　　2.5 没有代码标准

　　sonar可以通过PMD,CheckStyle,Findbugs等等代码规则检测工具规范代码编写。

　　2.6 没有足够的或者过多的注释

　　没有注释将使代码可读性变差，特别是当不可避免地出现人员变动时，程序的可读性将大幅下降，而过多的注释又会使得开发人员将精力过多地花费在阅读注释上，亦违背初衷。

　　2.7 潜在的bug

　　sonar可以通过PMD,CheckStyle,Findbugs等等代码规则检测工具检测出潜在的bug。

　　2.8 糟糕的设计（原文Spaghetti Design，意大利面式设计）

　　通过sonar可以找出循环，展示包与包、类与类之间的相互依赖关系，可以检测自定义的架构规则；

　　通过sonar可以管理第三方的jar包可以利用LCOM4检测单个任务规则的应用情况 ，检测耦合。

　　3. Sonar 组成

　　4. Sonar 集成过程

　　开发人员在他们的ide中使用SonarLint运行分析本地代码。

　　开发人员将他们的代码提交到代码管理平台中（SVN，GIT等）。

　　持续集成工具自动触发构建，调用SonarScanner对项目代码进行扫描分析。

　　分析报告发送到SonarQube Server中进行加工。

　　SonarQube Server 加工并且保存分析报告到SonarQube Database中，通过UI显示分析报告。

作者：会跑的熊    

来源： http://www.51testing.com/html/14/n-7793014.html