转载自: https://taosha.club/topic/61c2c6e9d59b034e2c167a54

Sonar 介绍

Sonar 是一个用于代码质量管理的开放平台。通过插件机制，Sonar 可以集成不同的测试工具，代码分析工具，以及持续集成工具。与持续集成工具（例如 Hudson/Jenkins 等）不同，Sonar 并不是简单地把不同的代码检查工具结果（例如 FindBugs，PMD 等）直接显示在 Web 页面上，而是通过不同的插件对这些结果进行再加工处理，通过量化的方式度量代码质量的变化，从而可以方便地对不同规模和种类的工程进行代码质量管理。

在对其他工具的支持方面，Sonar 不仅提供了对 IDE 的支持，可以在 Eclipse和 IntelliJ IDEA 这些工具里联机查看结果；同时 Sonar 还对大量的持续集成工具提供了接口支持，可以很方便地在持续集成中使用 Sonar。

此外，Sonar 的插件还可以对 Java 以外的其他编程语言提供支持，对国际化以及报告文档化也有良好的支持。

名词解释

详见: https://docs.sonarqube.org/latest/user-guide/rules/

• Code Smell (Maintainability domain)

• Bug (Reliability domain)

• Vulnerability (Security domain)

• Security Hotspot (Security domain)

本地安装 Sonar 插件

idea 安装 SonarLint 插件, 规则和 SonarQube 平台上的一样 jetbrains 插件地址: https://plugins.jetbrains.com/plugin/7973-sonarlint

官网推荐的系统集成方式

1. 开发人员的代码在自己的 IDE 和使用 SonarLint 运行局部分析。

2. 开发人员推他们的代码到自己喜爱的供应链管理：GIT，SVN......

3. 持续集成服务器触发自动构建和 SonarQube 扫描仪的运行 SonarQube 分析所需的执行。

4. 分析报告被发送到 SonarQube 服务器进行处理。

5. SonarQube 服务器处理和存储分析报告导致 SonarQube 数据库，并显示结果在 UI 中。

6. 开发者审核，评论，挑战他们的管理，并通过 SonarQube UI 减少他们的技术债务问题。

7. 开发经理收到分析报告。 OPS 使用 API 从 SonarQube 自动化配置和提取数据。 OPS 使用 JMX 来监控 SonarQube 服务器。

Q&A

1. 一个项目分析哪个分支，是不是只能管理员来控制，如果多个开发者在开发多个分支，想各自对不同的分支来分析，该怎么做？

2. 现在的提交分析的机制是什么样子的？

3. 提交成功后有没有通知机制？

4. 单元测试的覆盖率该如何集成到 SonarQube 上？

5. 有没有对于那些对业务无实际坏影响的代码，在 sonar 中能不能定制化规则，把这些异味或者显示修改的地方去掉