白盒测试之静态代码扫描:SonarQube+Scanner环境搭建及使用

已于 2022-05-07 14:34:41 修改
阅读量2.5k 收藏 8
点赞数 2
分类专栏: 白盒测试 文章标签: java 开发语言 测试工具
于 2022-05-07 08:45:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37688023/article/details/124597347
版权

目录

一、前言

1.1 环境及软件要求

1.2 作用

SonarQube作为一个开源平台,用于管理源代码的质量,支持Java、C#、Python等多门语言。有如下作用。

  • 扫描代码的bug和漏洞
  • code small 代码坏味道(代码规范、技术债评估)
  • 代码重复度
  • 单测与集成:单测用例数量、覆盖率

二、SonarQube安装及配置

  • 解压压缩包,修改配置文件 \conf\sonar.properties
    sonar.jdbc.username=root
sonar.jdbc.password=mysql
sonar.jdbc.url=jdbc:mysql://localhost:3306/sonar?useUnicode=true&characterEncoding=utf8&rewriteBatchedStatements=true&useConfigs=maxPerformance&useSSL=false
    在这里插入图片描述
  • 执行bin目录下相应操作系统目录下的StartSonar,我这里系统是win64位系统,就是\bin\windows-x86-64\StartSonar.bat,出现如下提示则代表启动服务正常。
    在这里插入图片描述
  • 访问http://localhost:9000/,使用账号admin、密码admin登录
    在这里插入图片描述
  • 生成相关的token
    在这里插入图片描述
  • 关闭sonar服务:在SonarQube命令窗口快捷键Ctrl+C,然后输入Y退出,否则容易出现异常。如果由于之前SonarQube没有正常关闭,导致后续打不开,可以去任务管理器,将java相关进程关闭后再重启服务。
    在这里插入图片描述

三、sonar-scanner安装及配置

  • 解压压缩包,修改配置文件 \conf\sonar-scanner.properties
    sonar.jdbc.username=root
sonar.jdbc.password=mysql
#sonarqube配置的数据库
sonar.jdbc.url=jdbc:mysql://localhost:3306/sonar?useUnicode=true&characterEncoding=utf8&rewriteBatchedStatements=true&useConfigs=maxPerformance&useSSL=false
#sonarqube地址
sonar.host.url=http://localhost:9000
  • 配置环境变量,操作如下
    --1.新建一个变量 为 SONAR_SCANNER_HOME,配置为解压的sonar_scanner的目录,例如:D:\IT Tools\Sonar\sonar-scanner-4.7.0.2747-windows
--2.在path环境变量中添加 %SONAR_SCANNER_HOME%\bin
    在这里插入图片描述
  • 命令行执行 sonar-scanner --version,出现如下信息则代表环境变量设置成功。
    在这里插入图片描述

四、Sonar简单应用

4.1 项目根目录执行命令,生成报告

  • 在被检测项目根目录新建一个文件sonar-project.properties,内如如下。
    在这里插入图片描述

    sonar.projectKey=test_renren
sonar.projectName=test_renren
sonar.version=0.1
sonar.sources=D:/IT Tools/IDEA/WorkSpace/renren/renren-generator/src/main/java
sonar.java.binaries=D:/IT Tools/IDEA/WorkSpace/renren/renren-generator/target/classes
#sonar.projectKey:关键字
#sonar.projectName:项目名
#sonar.version:项目版本
#sonar.sources:要扫描的源码路径,项目的绝对路径
#sonar.java.binaries:项目生成的class文件的路径

  • 项目根目录cmd下,执行sonar-scanner,分析成功后会出现下图这样。
    在这里插入图片描述

  • 访问sonar,就能看到扫描的结果了。
    在这里插入图片描述

4.2 与IDEA工具集成

  • 安装SonarLint插件,IDEA->File—>Settings—>Plugins
    在这里插入图片描述
  • Tools->SonarLint->点击"+"号
    在这里插入图片描述
  • 填写名称,使用之前搭建号的Sonar服务,再点击Next
    在这里插入图片描述
  • 填写之前生成的Token
    在这里插入图片描述
  • 如果忘记之前生成的Token,可以在此重新生成
    在这里插入图片描述
  • 操作完成后就会在IDEA下方出现一个SonarLint的一栏,点击左侧运行就可以扫描代码进行分析了。在这里插入图片描述

五、补充-SonarQube汉化

  • 汉化插件下载地址:https://github.com/xuhuisheng/sonar-l10n-zh/releases?page=3
  • 根据SonarQube版本找对应的插件版本,我这里就是找1.19版本。
    在这里插入图片描述
  • 将下载好的jar包放在extensions\plugins
    在这里插入图片描述
  • 重启服务,再次访问Sonar就能看到汉化后的效果。
    在这里插入图片描述
白盒测试常用工具介绍
yrryyff的博客
11-04 1万+
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴!                白盒测试工具一般是针对
电源测试大全(三):白盒测试
08-29
本文将详细介绍电源测试中的白盒测试,包括辅助电源测试、驱动电路的测试、功率半导体器件的应力测试、磁性器件的测试、DC/DC反馈环测试、PFC性能测试等
白盒扫描工具
11-29
白盒代码静态扫描:自动扫描:包含单元测试、代码重复率、BUG或漏洞等等
静态代码深度扫描详解
最新发布
zxy98的专栏
04-15 813
静态代码深度扫描是一种通过分析源代码结构、语法、语义及潜在逻辑,在不运行程序的情况下全面检测代码缺陷、安全漏洞和质量问题的技术。它通过结合等高级技术,实现对代码的深度理解,帮助开发团队在早期发现并修复问题,显著降低后期维护成本。
Myeclipse+TestNG白盒测试环境搭建
weixin_30298497的博客
12-13 139
myeclipse基础环境搭建这里不讲了,我用的是myeclipse2013,网上有破解方法http://jingyan.baidu.com/article/aa6a2c14d0c9700d4c19c405.html 主要说下如何搭建一个TestNG环境. 将以下两个文件丢到dropins下面:下载地址:http://download.csdn.net/detail/aaahanxm...
白盒测试哪种测试效果好_白盒测试用哪种工具比较好?
weixin_39620334的博客
12-19 345
(1) Jtest是一个代码分析和动态类、组件测试工具,是一个集成的、易于使用和自动化的Java单元测试工具。它增强代码的稳定性,防止软件错误。(2) JcontractJcontract在系统级验证类/部件是否正确工作并被正确使用。Jcontract 是个独立工具,在功能上是Jtest 的补充。可以用Jcontract插装按DbC注解的Java代码。当您将类/部件组装成系统时,Jcontract...
SonarQube搭建静态代码扫描系统
weixin_45589713的博客
04-08 1623
SonarQube搭建静态代码扫描系统,实现测试左移,提前发现Bug
Java代码审计的高级技巧:结合静态代码分析与动态测试
![Java代码审计的高级技巧:结合静态代码分析与动态测试]...接着,本文转而讨论动态代码测试技巧,包括测试环境搭建
ACM算法竞赛系统测试全面指南:进行全面代码测试的10大策略
![ACM算法竞赛系统测试全面指南:进行全面代码测试的10大策略]...此外,本论文还详细探讨了代码测试策略,特别是在代码覆盖率分析、性能测试优化以及内存泄漏检测方面。在安全测试方面,
【全方位测试策略】:确保运动会成绩及名次系统稳定运行的秘诀
首先,提出了软件测试的理论框架,包括基本原则和分类方法,并讨论了测试模型的构建及在不同场景下的应用。接着,深入分析了实践中的测试技术,探讨了自动化测试工具的选用和持续集成的实施。性能测试与安全性评估...
软件测试流程全掌握:朱少民版习题秘籍详细剖析
在自动化与性能优化方面,分析了自动化测试框架的搭建、性能测试策略,以及持续集成与交付的实施。最后,文章展望了安全测试、移动应用测试的特殊考虑,以及人工智能技术在未来软件测试中的应用前景。 # 关键字 ...
白盒测试常用工具 详解
03-30
白盒测试工具一般是针对代码进行测试,测试中发现的缺陷可以定位到代码级,根据测试工具原理的不同,又可以分为静态测试工具和动态测试工具静态测试工具直接对代码进行分析,不需要运行代码,也不需要对代码编译链接,生成可执行文件。静态测试工具一般是对代码进行语法扫描,找出不符合编码规范的地方,根据某种质量模型评价代码的质量,生成系统的调用关系图等;动态测试工具静态测试工具不同,动态测试工具的一般采用“插桩”的方式,向代码生成的可执行文件中插入一些监测代码,用来统计程序运行时的数据。其与静态测试工具最大的不同就是动态测试工具要求被测系统实际运行。
测试与验证的重要性:确保安全措施有效性
![测试与验证的重要性:确保安全措施有效性]...测试与验证是确保软件质量不可或缺的环节。本文首先
静态代码扫描工具
Stroller
12-27 913
find bugs  http://findbugs.cs.umd.edu/eclipse   check style http://eclipse-cs.sourceforge.net/update/
SonarQube白盒代码检测
weixin_33260484的博客
08-02 83
SonarQube 是一款用于白盒代码检测的强大工具。它可以对代码的质量进行多方面的分析和评估,包括但不限于代码复杂度、潜在的缺陷、代码规范的遵循情况、重复代码、测试覆盖率等。通过使用 SonarQube 进行白盒代码检测,可以帮助开发团队及早发现代码中的问题,提高代码质量,促进团队遵循良好的编程实践,从而提高软件的整体质...
静态代码扫描工具SonarQube的安装与使用(图文详解,超详细!)
green_hand_w的博客
06-08 1172
静态代码扫描工具SonarQube的安装与使用
小白学安全-KunLun-M静态白盒扫描工具
xqdd的专栏
11-09 1140
KunLun-M是一个完全开源的静态白盒扫描工具,支持PHP、JavaScript的语义扫描,基础安全、组件安全扫描,Chrome Ext\Solidity的基础扫描。Cobra是一款源代码安全审计工具,支持检测多种开发语言代码中的大部分显著的安全问题和漏洞。Cobra-W是从Cobra2.0发展而来的分支,将工具重心从尽可能的发现威胁转变为提高发现漏洞的准确率以及精度。
测试左移之Sonarqube scanner使用
hogwarts_2022的博客
04-21 159
Sonarqube scanner使用,需要先安装好环境及配置文件。 安装 作用:分析代码与数据,并上传,独立客户端程序 独立下载:https://docs.sonarqube.org/display/SCAN/Analyzing+with+SonarQube+Scanner mac:brew install sonar-scanner scanner 有 2 种类型的配置文件,全局配置文件与项目配置文件。 全局配置文件 scanner 的全局配置文件用于保存一些全局性的配置,比如 sonar 的 toke
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

One Tester

你的鼓励将是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值