一，引言

　　對于今天所分析的 SonarQube，首先我們得了解什么是 SonarQube ? SonarQube 又能幫我們做什么？我們是否在項(xiàng)目開發(fā)的過程中遇到人為 Review 代碼審核規(guī)范？帶著以上問題，開始今天的分析內(nèi)容吧 !!!

1）什么是 SonarQube ?

SonarQube 是一種自動代碼審查工具，用于檢測代碼中的錯誤、漏洞和代碼問題。

2）SonarQube 能幫助我們做什么？

它可以與我們現(xiàn)有的工作流程集成，以實(shí)現(xiàn)跨項(xiàng)目分支和拉取請求的持續(xù)代碼檢查。

SonarQube 與 Azure DevOps 的集成允許我們在 Azure DevOps 存儲庫中維護(hù)代碼質(zhì)量和安全性。同時支持?Azure DevOps Server （本地）和 Azure DevOps Services （云端）。在 Azure Pipelines 作業(yè)中運(yùn)行的 SonarQube 擴(kuò)展可以自動檢測正在構(gòu)建的分支或拉取請求。

重點(diǎn)：SonarQube 也有版本的區(qū)分

　　SonarQube Cloud：Saas 化的產(chǎn)品，托管在 AWS 上的，無需擔(dān)心安裝和維護(hù)

　　SonarQube Server：SonarQube 服務(wù)和數(shù)據(jù)庫都是需要我們安裝到自己的服務(wù)器或者云端服務(wù)器，這就需要我們自行維護(hù)

兩種產(chǎn)品基本上都涵蓋了支持多種語言的代碼分析，共享相同的底層靜態(tài)分析引擎來捕獲錯誤，漏洞等。那么讓我們正式開始今天的內(nèi)容

--------------------Azure DevOps 系列--------------------

1，Azure DevOps（一）基于 Net6.0 的 WPF 程序如何進(jìn)行持續(xù)集成、持續(xù)編譯

2，Azure DevOps（二）Azure Pipeline 集成 SonarQube 維護(hù)代碼質(zhì)量和安全性

3，Azure DevOps（三）Azure Pipeline 自動化將程序包上傳到 Azure Blob Storage

二，正文

1，創(chuàng)建 SonarQube 項(xiàng)目

登錄 sonarCoud.io?選擇 Azure DevOps 登錄

點(diǎn)擊 “+” 選擇 “Analyze new project” 創(chuàng)建新項(xiàng)目

選擇本次實(shí)驗(yàn)的代碼項(xiàng)目，點(diǎn)擊 “Set Up“ 進(jìn)行設(shè)置

2，配置與 Azure Pipeline 的集成

點(diǎn)擊 ”With Azure DevOps Pipelines“ 開始配置

首先需要在 Visual Studio Marketplace 獲取、安裝 SonarCloud 擴(kuò)展

選擇 "Pipelines =》“”Service connection" ，點(diǎn)擊 “New service connection” 添加新的服務(wù)連接

在我們的新的 SonarCloud service connection 輸入以下參數(shù)，參數(shù)也來源于剛剛在 sonarcloud 上創(chuàng)建好的項(xiàng)目

點(diǎn)擊 “Verify and save”

接下來就是 Pipeline 中添加 Sonar 的 Task了，打開已經(jīng)編輯好的 Azure Pipeline 的 YAML 文件

1）搜索添加 “Prepare Analysis Configuration”

輸入以下參數(shù)

SonarCloud Service Endpoint 選擇：“SonarCloud”

Organization 選擇：“SonarQube_Test”

Project Key：“AllenMaster_NetCore_WPF_Sample”

Project Name："NetCore_WPF_Sample"

點(diǎn)擊 ”Add“?

Project Key 可以在 SonarCloud 的項(xiàng)目配置中可以找到

2）搜索添加 “Run Code Analysis” 并添加 Task

?3）搜索添加 “Publish Quality Gate Result” 并添加 Task

配置完成后，點(diǎn)擊 ”Save“ 保存 YAML 文件，并將修改內(nèi)容提交到 master 分支

最后，我們可以嘗試運(yùn)行 Pipeline，并在 SonarCloud 上查看代碼分析報(bào)告

報(bào)告了主要有以下幾個個指標(biāo)

Bugs ：代碼中的重大 bug 錯誤，可能影響到項(xiàng)目的正常運(yùn)行。

Code Smells：無關(guān)緊要的編碼不規(guī)范問題，建議改正，點(diǎn)開詳情可以看到規(guī)范的使用案例。

Vulnerabilities：項(xiàng)目中存在的漏洞，需要進(jìn)行改正。

Coverage：項(xiàng)目的單元測試情況。

Duplications：項(xiàng)目中的重復(fù)代碼塊，建議重構(gòu)。

三，結(jié)尾

　　使用 sonarqube 分析項(xiàng)目代碼代碼的實(shí)驗(yàn)全部過程已經(jīng)完成了。大家也多多操作練習(xí)，本文所分享的內(nèi)容也存在著很多我自己的一些理解，有理解不到位的，還希望多多包涵，并且指出不足之處。

到了這里，關(guān)于Azure DevOps（二）Azure Pipeline 集成 SonarQube 維護(hù)代碼質(zhì)量和安全性的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！