一、SonarQube的安装

Sonarqube的运行离不开数据库，按照官方建议，本文使用postgresql来作为其数据库。

docker run --name pgdb -e POSTGRES_USER=sonar -e POSTGRES_PASSWORD=sonar -e POSTGRES_DB=sonar -p 5432:5432 -v E:\docker-volume\postgresql\data:/var/lib/postgresql/data -d postgres

由于Sonarqube依赖ELK的运行，默认情况下最大虚拟内存大小不足以支撑ELK的运行，所以我们需要调大虚拟内存的最大内存：

设置elk运行允许最大内存，否则sonarqube无法正常启动（适合windows Docker Desktop场景）

wsl -d docker-desktop
sysctl -w vm.max_map_count=262144
exit

然后，我们就可以运行sonarqube容器了：

docker run --name sq --link pgdb -e SONARQUBE_JDBC_USERNAME=sonar -e SONARQUBE_JDBC_PASSWORD=sonar -e SONARQUBE_JDBC_URL=jdbc:postgresql://pgdb:5432/sonar -p 9000:9000 -v E:\docker-volume\sonarqube\data:/opt/sonarqube/data -v E:\docker-volume\sonarqube\extensions:/opt/sonarqube/extensions -v E:\docker-volume\sonarqube\logs:/opt/sonarqube/logs -d sonarqube

稍等几分钟后访问localhost:9000，初始账密为admin/admin，进入后会要求立即修改密码。

初始状态下，Sonarqube是英文的，如果需要汉化包，可以在config > marketplace里面搜索chinese汉化插件下载安装，也可以手动下载安装，从Releases · xuhuisheng/sonar-l10n-zh (github.com)下载汉化包放到extensions/downloads下面，重启sonarqube即可汉化，注意要下载和当前sonarqube相对应的汉化包，否则不兼容会导致不能使用。

然后重启sonarqube，docker restart sq即可看到汉化版本的sonarqube了。

PS：sonarqube官方的插件网址：SonarQube™ Plugins Index (sonarplugins.com)

二、手动创建和分析项目

2.1 方式一

点击项目，选择手动新建一个项目，自行输入显示名称、项目标识等，

手动新建一个项目
选择手动分析该项目，自定义一个令牌，一般写项目英文名称即可，方便记忆和查找，然后按照步骤走，就会出现如下界面。

手动分析一个项目
然后到本地项目目录下，执行如上红框中的命令：

mvn clean verify sonar:sonar -Dsonar.projectKey=activity-manage -Dsonar.host.url=http://localhost:9000 -Dsonar.login=1e00f453302829b4c70584c925e88527fff29a32

执行完成后，再刷新Sonarqube界面，就能看到本次手动分析上传的结果了。

手动分析的项目结果

2.2 方式二

如果嫌弃上述方式比较麻烦，毕竟还要手动在sonarqube上创建项目，还可以通过如下方式进行：

修改本地maven的setting.xml，增加如下内容：

  <profile>
      <id>sonar</id>
      <activation>
          <activeByDefault>true</activeByDefault>
      </activation>
      <properties>
        <sonar.login>admin</sonar.login>
        <sonar.password>***</sonar.password>
        <sonar.host.url>http://localhost:9000</sonar.host.url>
      </properties>
    </profile>

然后在项目目录下执行mvn sonar:sonar命令，即可将项目分析结果上传到sonarqube上了。

2.3 方式三

该种方式适合没有Maven的场景，首先从官网上下载sonar-scanner扫描器，下载地址：SonarScanner | SonarQube Docs

然后在sonarqube的个人账户那边创建一个token：

sonarqube生成令牌
当前项目增加sonarqube的配置内容：sonar-project.properties

sonar.projectKey=java-cicd-test
sonar.projectName=java-cicd-test
sonar.projectVersion=1.0
sonar.sources=.
sonar.sourceEncoding=UTF-8
sonar.java.binaries=target/classes

然后在项目根目录下执行命令：

D:\sonar-scanner\sonar-scanner-4.7.0.2747-windows\bin\sonar-scanner.bat -Dsonar.login=54f0c382ef7c0b10f84f5d1c81de7070161d473f

即可对项目进行分析并将结果上传到sonarqube了。

三、使用sonarlint进行分析
IDEA安装sonarlint是免费的，提前安装好后其内置了默认的规则即可对项目进行扫描。但是如果需要让项目开发团队所有人的sonarlint具有相同的规则，就需要和sonarqube进行连接了。

在IDEA的File > settings > tools > sonarlint里面点击加号新建一个连接，填写信息如下：

sonarlint创建连接到sonarqube
然后下一步输入认证方式，我这里选择账户密码模式，输入自己sonarqube的账密保存即可，然后一路next直至finish。

刚才是新建连接，然后我们需要将IDEA中的当前项目和sonarqube上的项目进行绑定，所以首先我们得在sonarqube上新建一个项目，此处略过，参考上一步：

绑定当前项目到sonarqube上的某个项目
如此即可将sonarqube上设置的检查规则同步到IDEA的sonarlint上了，实现开发人员代码检查规则的一致性。

注意，sonarlint并不能将检查结果上传到sonarqube，想一想也能理解，每个开发人员的代码都可能不同，如果可以上传的话以谁的为准呢，而且开发人员IDEA中的代码是不稳地不可交付状态，扫描结果上传到sonarqube也没什么意义。可以参考：Bind to SonarQube or SonarCloud · SonarSource/sonarlint-intellij Wiki · GitHub

四、自定义检查规则

4.1 创建新的质量配置

从sonarqube的插件市场在线或者离线安装PMD、CheckStyle等代码检查插件，具体步骤在第一部分已经说过了。

然后质量配置 > 创建，填写新的质量配置内容如下：

新建质量配置
如果需要继承系统默认的检查规则，则上级可以选择默认的Sonar way。然后就进入该新的质量配置界面，可以看到左边规则面板上，所有规则都是未激活状态，此时我们就可以自定义需要激活哪些规则。

点击”更多激活规则“，在左侧面板中找到想要使用的PMD规则，然后点击”激活alibaba code guide“表示将该PMD的268条规则添加到我们自己新建的质量配置中，然后再将该质量配置设置为默认，以后扫描Java应用时就会使用该条质量配置了。

激活PMD规则

4.2 创建新的自定义检查规则

sonarqube还允许我们自己创建检查规则，比如检查类中是否存在作者信息、检查不允许出现某些敏感词等，这些规则是现有内置规则和其它插件规则中所没有的，使用场景比较少，后面有时间再研究。

五、其它配置

5.1 整合Gitlab

Sonarqube整合Gitlab主要就如下四个功能：

实现使用Gitlab账号免密登录sonarqube;
导入Gitlab中的项目到sonarqube中；
配合Gitlab CICD将sonarqube集成在流水线中对代码质量进行分析；
针对每次合并代码报告质量门禁和代码指标；
这些功能好像都没什么使用场景，特别是在如今Jenkins+Gitlab实现DevOps的情况下，后面有机会再研究，也可以参考官方的使用文档自行研究：

GitLab Integration | SonarQube Docs

5.2 整合Jenkins

可将sonarqube整合到Jenkins的Pipeline流水线中对代码质量进行分析，这块内容是现在DevOps的主流，将在后续《Jenkins+Gitlab搭建CICD流程进阶》中再详细介绍