![\"](\"https:\/\/sii.pl\/blog\/wp-content\/uploads\/2023\/06\/000-sonar-security-rules.jpg\")
<\/a>W artykule przyjrzymy si\u0119 temu, jak mo\u017cna wykorzysta\u0107 SonarQube do statycznej analizy kodu w aplikacjach C# .NET.<\/p>\n\n\n\n
Co to jest statyczna analiza kodu?<\/strong><\/h2>\n\n\n\nStatyczna analiza kodu to proces automatycznego skanowania kodu \u017ar\u00f3d\u0142owego w celu wykrycia:<\/p>\n\n\n\n
\n- b\u0142\u0119d\u00f3w,<\/li>\n\n\n\n
- potencjalnych zagro\u017ce\u0144 bezpiecze\u0144stwa,<\/li>\n\n\n\n
- niesp\u00f3jno\u015bci,<\/li>\n\n\n\n
- niezgodno\u015bci z najlepszymi praktykami programistycznymi.<\/li>\n<\/ul>\n\n\n\n
Wa\u017cne jest to, \u017ce analiza ta przeprowadzana jest zanim kod zostanie uruchomiony.<\/p>\n\n\n\n
W przypadku j\u0119zyka C# statyczna analiza kodu mo\u017ce by\u0107 wykonywana za pomoc\u0105 r\u00f3\u017cnych narz\u0119dzi, w tym specjalistycznych narz\u0119dzi IDE (ang. Integrated Development Environment) takich jak Microsoft Visual Studio, jak r\u00f3wnie\u017c zewn\u0119trznych narz\u0119dzi, np. SonarQube, ReSharper czy Code Analysis.<\/p>\n\n\n\n
Narz\u0119dzia te wykorzystuj\u0105 r\u00f3\u017cne techniki i algorytmy do skanowania kodu, uwzgl\u0119dniaj\u0105c regu\u0142y statycznej analizy kodu, kt\u00f3re pozwalaj\u0105 na wykrywanie potencjalnych b\u0142\u0119d\u00f3w. Korzystaj\u0105 r\u00f3wnie\u017c z podej\u015bcia opartego na sztucznej inteligencji i uczeniu maszynowym. Umo\u017cliwiaj\u0105 identyfikowanie b\u0142\u0119d\u00f3w i niesp\u00f3jno\u015bci na podstawie wcze\u015bniejszych wzorc\u00f3w oraz analizy du\u017cych zbior\u00f3w danych.<\/p>\n\n\n\n
Korzy\u015bci p\u0142yn\u0105ce ze statycznej analizy kodu<\/strong><\/h3>\n\n\n\nKorzy\u015bci wynikaj\u0105ce z zastosowania statycznej analizy kodu w j\u0119zyku C# s\u0105 liczne. Przede wszystkim pozwala ona na wykrycie b\u0142\u0119d\u00f3w we wczesnym etapie procesu wytwarzania oprogramowania, co prowadzi do oszcz\u0119dno\u015bci czasu i zmniejszenia koszt\u00f3w poprawek w p\u00f3\u017aniejszych fazach projektu. Po drugie, statyczna analiza kodu pozwala na identyfikowanie potencjalnych zagro\u017ce\u0144 bezpiecze\u0144stwa, co jest szczeg\u00f3lnie istotne w przypadku aplikacji, kt\u00f3re wymagaj\u0105 wysokiego poziomu bezpiecze\u0144stwa, takich jak aplikacje medyczne, do kierowania ruchem kolejowym lub lotniczym.<\/p>\n\n\n\n
Jednym z istotnych element\u00f3w analizy statycznej jest pokrycie kodu.<\/p>\n\n\n\n
Co to jest pokrycie kodu?<\/strong><\/h2>\n\n\n\nPokrycie kodu to miara okre\u015blaj\u0105ca, w jaki spos\u00f3b testy jednostkowe pokrywaj\u0105 kod \u017ar\u00f3d\u0142owy aplikacji. Im wy\u017cszy poziom pokrycia kodu, tym wi\u0119ksza pewno\u015b\u0107, \u017ce kod dzia\u0142a zgodnie z oczekiwaniami i jest bardziej odporny na b\u0142\u0119dy.<\/p>\n\n\n\n
Istniej\u0105 r\u00f3\u017cne rodzaje pokrycia kodu, takie jak pokrycie instrukcji, ga\u0142\u0119zi, wierszy lub funkcji. Ka\u017cdy z tych rodzaj\u00f3w ma swoje zalety i wady, za\u015b wyb\u00f3r konkretnego typu zale\u017cy od potrzeb projektu.<\/p>\n\n\n\n
Co to jest SonarQube?<\/strong><\/h2>\n\n\n\nSonarQube to platforma do ci\u0105g\u0142ej inspekcji jako\u015bci kodu, kt\u00f3ra zapewnia programistom kompleksowy zestaw narz\u0119dzi do analizy i pomiaru jako\u015bci ich kodu.<\/p>\n\n\n\n
Oferuje szereg funkcji, takich jak:<\/p>\n\n\n\n
\n- analiza kodu,<\/li>\n\n\n\n
- pokrycie kodu,<\/li>\n\n\n\n
- wykrywanie duplikat\u00f3w kodu,<\/li>\n\n\n\n
- skanowanie pod k\u0105tem podatno\u015bci, aby pom\u00f3c programistom w identyfikowaniu i rozwi\u0105zywaniu problem\u00f3w.<\/li>\n<\/ul>\n\n\n\n
SonarQube integruje si\u0119 z r\u00f3\u017cnymi narz\u0119dziami i j\u0119zykami, w tym C#, Java, Python i wieloma innymi, a mo\u017cna go u\u017cywa\u0107 zar\u00f3wno w \u015brodowisku lokalnym, jak i w chmurze. Jego przyjazny interfejs i szczeg\u00f3\u0142owe raportowanie sprawiaj\u0105, \u017ce jest \u0142atwy w u\u017cyciu i umo\u017cliwia szybkie wdro\u017cenie.<\/p>\n\n\n\n
W celu przeprowadzenia analizy kodu na naszej maszynie lokalnej, warto przyjrze\u0107 si\u0119 poszczeg\u00f3lnym u\u017cywanym komponentom i powi\u0105zaniom pomi\u0119dzy nimi (Ryc. 2):<\/p>\n\n\n\n![\"Komponenty](\"https:\/\/sii.pl\/blog\/wp-content\/uploads\/2023\/06\/001-sonar-components.jpg\")
<\/a>Ryc. 2 Komponenty u\u017cyte w celu przeprowadzenia analizy kodu<\/a><\/figcaption><\/figure>\n\n\n\nDost\u0119pne komponenty SonarQube:<\/p>\n\n\n\n
\n- Skaner \u2013 proces, kt\u00f3ry dokonuje analizy kodu \u017ar\u00f3d\u0142owego,<\/li>\n\n\n\n
- Baza danych \u2013 przechowywane s\u0105 w niej metryki zwi\u0105zane z jako\u015bci\u0105 kodu oraz konfiguracj\u0119,<\/li>\n\n\n\n
- Serwer SonarQube \u2013 udost\u0119pnia interfejs u\u017cytkownika, przetwarza raporty z analizy kodu i zapisuje je do bazy danych.<\/li>\n<\/ul>\n\n\n\n
Instalacja komponent\u00f3w SonarQube<\/strong><\/h2>\n\n\n\nServer MSSQL<\/strong><\/h3>\n\n\n\nW tym zakresie jest wiele tutoriali, wi\u0119c opis samej instalacji opuszcz\u0119. Istotne jest natomiast, aby spe\u0142ni\u0107 warunki przy tworzeniu bazy danych:<\/p>\n\n\n\n
\n- Collation MUST<\/strong> be case-sensitive (CS) and accent-sensitive (AS) (wersja angielska tego wymagania pozwala na \u0142atwiejsze jego zrozumienie), np. Polish_CS_AS.<\/li>\n\n\n\n
- po utworzeniu bazy nale\u017cy upewni\u0107 si\u0119, \u017ce mamy ustawion\u0105 opcj\u0119 READ_COMMITED_SNAPSHOT:<\/li>\n<\/ul>\n\n\n\n
SELECT is_read_committed_snapshot_on FROM sys.databases WHERE name='TwojaBazaSonarQube';<\/pre>\n\n\n\n
\n- Je\u015bli nie, ustawiamy j\u0105:<\/li>\n<\/ul>\n\n\n\n
ALTER DATABASE TwojaBazaSonarQube SET READ_COMMITTED_SNAPSHOT ON WITH ROLLBACK IMMEDIATE;<\/pre>\n\n\n\n
\n- Je\u015bli uruchamiamy instancj\u0119 SQL server lokalnie, warto pami\u0119ta\u0107 o ustawieniu konkretnego portu np. 1433.<\/li>\n<\/ul>\n\n\n\n
SonarQube server<\/strong><\/h3>\n\n\n\nJednym z wymaga\u0144 jest instalacja i konfiguracja Java Oracle JRE 17 lub OpenJDK 17. Skorzystajmy z drugiej opcji (Ryc. 3).<\/p>\n\n\n\n![\"Dost\u0119pne](\"https:\/\/sii.pl\/blog\/wp-content\/uploads\/2023\/06\/003-sonar-download-versions.jpg\")
<\/a>Ryc. 3 Dost\u0119pne wersje JDK do pobrania<\/a><\/figcaption><\/figure>\n\n\n\nPo rozpakowaniu w naszej wybranej lokalizacji konfigurujemy systemowe zmienne \u015brodowiskowe:<\/p>\n\n\n\n
JAVA_HOME <\u015bcie\u017cka do rozpakowanego folderu>\n\nPATH <\u015bcie\u017cka do rozpakowanego folderu\/bin> lub %JAVA_HOME%\/bin\nSONAR_JAVA_PATH <\u015bcie\u017cka do rozpakowanego folderu\/bin\/java.exe> lub %JAVA_HOME%\/bin\/java.exe\n<\/pre>\n\n\n\nZ oficjalnej strony SonarQube pobieramy najnowsz\u0105 wersj\u0119 community (Ryc. 4) i rozpakowujemy:<\/p>\n\n\n\n![\"Dost\u0119pne](\"https:\/\/sii.pl\/blog\/wp-content\/uploads\/2023\/06\/004-sonar-app-versions-1024x251.jpg\")
<\/a>Rys. 4 Dost\u0119pne wersje SonarQube<\/a><\/figcaption><\/figure>\n\n\n\nKonfiguracja polega na odkomentowaniu i ustawieniu odpowiednich parametr\u00f3w w pliku conf\/sonar.properties. W naszym przypadku to jedynie konfiguracja po\u0142\u0105czenia z baz\u0105 danych:<\/p>\n\n\n\n
sonar.jdbc.username=<TwojaNazwaU\u017cytkownikaDb>\nsonar.jdbc.password=<TwojeHas\u0142o>\n\nsonar.jdbc.url=jdbc:sqlserver:\/\/localhost:1433;databaseName=<TwojaBazaSonarQube>;encrypt=false\n<\/pre>\n\n\n\nScanner<\/strong><\/h3>\n\n\n\nInstalujemy globalnie niezb\u0119dne narz\u0119dzie do przeprowadzenia skanu przy pomocy komendy:<\/p>\n\n\n\n
dotnet tool install dotnet-sonarscanner \u2013global<\/pre>\n\n\n\nUruchomienie<\/strong><\/h2>\n\n\n\nTeraz, gdy mamy ju\u017c wszystko zainstalowane oraz skonfigurowane, odpalmy instancj\u0119 serwera SonarQube poprzez wykonanie skryptu z folderu instalacyjnego serwera:<\/p>\n\n\n\n
bin\\windows-x86-64\\StartSonar.bat<\/pre>\n\n\n\nW konsoli powinni\u015bmy zobaczy\u0107 logi potwierdzaj\u0105ce uruchomienie serwera (Ryc. 5):<\/p>\n\n\n\n![\"Potwierdzenie](\"https:\/\/sii.pl\/blog\/wp-content\/uploads\/2023\/06\/005-sonar-run-server.jpg\")
<\/a>Ryc. 5 Potwierdzenie uruchomienia serwera SonarQube<\/figcaption><\/figure>\n\n\n\nSerwer Web UI SonarQube nas\u0142uchuje domy\u015blnie na porcie 9000 (mo\u017cna to zmieni\u0107 w pliku sonar.properties), a credentiale, kt\u00f3re musimy zmieni\u0107 podczas pierwszego logowania, to admin\/admin).<\/p>\n\n\n\n![\"Strona](\"https:\/\/sii.pl\/blog\/wp-content\/uploads\/2023\/06\/010-sonar-start-page-1024x719.jpg\")
<\/a>Ryc. 6 Strona startowa SonarQube<\/figcaption><\/figure>\n\n\n\nNajpierw stw\u00f3rzmy projekt w SonarQube, wybieraj\u0105c opcj\u0119 Manually (Ryc. 6), a nast\u0119pnie podaj\u0105c dane projektu (Ryc. 7):<\/p>\n\n\n\n![\"Tworzenie](\"https:\/\/sii.pl\/blog\/wp-content\/uploads\/2023\/06\/015-sonar-create-project.jpg\")
<\/a>Ryc. 7 Tworzenie projektu w SonarQube<\/figcaption><\/figure>\n\n\n\nJako \u017ce wszystko do tej pory dzia\u0142o si\u0119 lokalnie, r\u00f3wnie\u017c do skanu u\u017cyjemy kodu znajduj\u0105cego si\u0119 na localhost. Wobec tego sklonujmy repozytorium (Ryc. 8), kt\u00f3re przygotowa\u0142em na cele tego artyku\u0142u i wybierzmy opcj\u0119 Locally widoczn\u0105 po stworzeniu projektu.<\/p>\n\n\n\n![\"Repozytorium](\"https:\/\/sii.pl\/blog\/wp-content\/uploads\/2023\/06\/018-sonar-github-repo-1024x459.jpg\")
<\/a>Ryc. 8 Repozytorium zawieraj\u0105ce przyk\u0142adowy kod do analizy<\/a><\/figcaption><\/figure>\n\n\n\nIstotne, \u017ceby w projekcie testowym dodana by\u0142a referencja do coverlet.collector, dzi\u0119ki kt\u00f3remu mo\u017cemy zebra\u0107 dane po przeprowadzeniu test\u00f3w. Kolejne kroki to stworzenie tokena, kt\u00f3ry pozwoli na przeprowadzenie analizy oraz wyb\u00f3r rodzaju projektu \u2013 w naszym przypadku to .NET (Ryc. 9):<\/p>\n\n\n\n![\"Generowanie](\"https:\/\/sii.pl\/blog\/wp-content\/uploads\/2023\/06\/020-sonar-analysis-configuration.jpg\")
<\/a>Ryc. 9 Generowanie tokena i wyb\u00f3r rodzaju projektu<\/figcaption><\/figure>\n\n\n\nSonarQube podpowie nam, jakich komend powinni\u015bmy u\u017cy\u0107, aby przeprowadzi\u0107 analiz\u0119. Domy\u015blnie jednak nie proponuje wygenerowania pokrycia kodu, wobec tego rozszerzmy nieco propozycj\u0119 (poni\u017csze instrukcje dotycz\u0105 wersji Core .NET, a dla wersji .NET Framework prosz\u0119 odnie\u015b\u0107 si\u0119 do dokumentacji):<\/p>\n\n\n\n
dotnet sonarscanner begin \/k:\"SonarTest\" \/d:sonar.host.url=\"http:\/\/localhost:9000\" \/d:sonar.token=\"TwojTokenZSonarQube\" \/d:sonar.cs.opencover.reportsPaths=\"**\\coverage.opencover.xml\" \/d:sonar.qualitygate.wait=true\n\ndotnet build\n\ndotnet test --collect:\"XPlat Code Coverage;Format=opencover\"\n\ndotnet sonarscanner end \/d:sonar.token=\" TwojTokenZSonarQube \" <\/pre>\n\n\n\nPierwsza linia skryptu powy\u017cej odpowiada za start analizy, wskazuj\u0105c jednocze\u015bnie nazw\u0119 projektu, URL serwera, token oraz nazw\u0119 pliku raportu jaki zostanie wykorzystany w generowaniu raportu po stronie SonarQube. Drugiej komendy my\u015bl\u0119, \u017ce nie trzeba t\u0142umaczy\u0107. Komenda trzeci odpala testy oraz generuje plik w formacie opencover o nazwie coverage.opencover.xml. Ostatnia komenda odpowiada za zako\u0144czenie analizy. Na naszym ekranie powinni\u015bmy zobaczy\u0107 informacje o powodzeniu przeprowadzonej analizy (Ryc. 10):<\/p>\n\n\n\n![\"Rezultat](\"https:\/\/sii.pl\/blog\/wp-content\/uploads\/2023\/06\/025-sonar-execution-output.jpg\")
<\/a>Ryc. 10 Rezultat analizy<\/figcaption><\/figure>\n\n\n\nWracaj\u0105c do web UI (Ryc. 11), mo\u017cemy w bardzo czytelnej formie przegl\u0105dn\u0105\u0107 wszystkie problemy, kt\u00f3re zosta\u0142y wykryte podczas analizy:<\/p>\n\n\n\n![\"Problemy](\"https:\/\/sii.pl\/blog\/wp-content\/uploads\/2023\/06\/030-sonar-results-1024x526.jpg\")
<\/a>Ryc. 11 Problemy wykryte podczas analizy SonarQube<\/figcaption><\/figure>\n\n\n\nCelem artyku\u0142u jest pokazanie, jak przeprowadzi\u0107 analiz\u0119 kodu<\/strong>, nie b\u0119d\u0119 natomiast omawia\u0142 interfejsu web SonarQube i mo\u017cliwo\u015bci, jakie nam daje.<\/p>\n\n\n\nWarto jeszcze wspomnie\u0107 o dost\u0119pnym rozszerzeniu do Visual Studio o nazwie SonarLint, kt\u00f3re pozwala nam m.in. na prac\u0119 w Connected Mode i bie\u017c\u0105c\u0105 analiz\u0119 naszego kodu. Po instalacji SonarLint nale\u017cy skonfigurowa\u0107 go do u\u017cycia z naszym serwerem SonarQube. W pierwszej kolejno\u015bci po stronie serwera musimy wygenerowa\u0107 User Token, klikaj\u0105c w My Account i wybieraj\u0105c zak\u0142adk\u0119 security (Ryc. 12):<\/p>\n\n\n\n![\"Generowanie](\"https:\/\/sii.pl\/blog\/wp-content\/uploads\/2023\/06\/035-sonar-user-token.jpg\")
<\/a>Ryc. 12 Generowanie User Token<\/figcaption><\/figure>\n\n\n\nKolejnym i ostatnim ju\u017c krokiem jest konfiguracja po\u0142\u0105czenia po stronie Visual Studio. W\u0142\u0105czamy widok Team Explorer, klikamy Connect i podajemy URL naszego serwera oraz wcze\u015bniej wygenerowany User Token (Ryc. 13):<\/p>\n\n\n\n![\"Konfiguracja](\"https:\/\/sii.pl\/blog\/wp-content\/uploads\/2023\/06\/040-sonar-sonarlint-config-1024x515.jpg\")
<\/a>Ryc. 13 Konfiguracja SonarLint<\/figcaption><\/figure>\n\n\n\nTeraz pozostaje klikn\u0105\u0107 prawym przyciskiem na nasz projekt i wybra\u0107 opcj\u0119 Bind. W okienku Error List w VS powinni\u015bmy widzie\u0107 te same problemy, jak w web UI SonarQube (lokalnie tworzony jest taki sam ruleset, jak w profilach na serwerze i jest on zsynchronizowany) (Ryc. 14):<\/p>\n\n\n\n![\"Widoczne](\"https:\/\/sii.pl\/blog\/wp-content\/uploads\/2023\/06\/045-sonar-error-list-1024x216.jpg\")
<\/a>Ryc. 14 Widoczne ostrze\u017cenia wykryte przez SonarLint<\/figcaption><\/figure>\n\n\n\nPodsumowanie<\/strong><\/h2>\n\n\n\nW artykule om\u00f3wi\u0142em narz\u0119dzie SonarQube, kt\u00f3re s\u0142u\u017cy do statycznej analizy kodu \u017ar\u00f3d\u0142owego w celu wykrycia b\u0142\u0119d\u00f3w, wyciek\u00f3w pami\u0119ci, nieprawid\u0142owych zastosowa\u0144 zmiennych, nieefektywnych fragment\u00f3w kodu i innych problem\u00f3w. Narz\u0119dzie to dzia\u0142a w oparciu o regu\u0142y analizy statycznej, kt\u00f3re okre\u015blaj\u0105 standardy kodowania i najlepsze praktyki.<\/p>\n\n\n\n
SonarQube umo\u017cliwia programistom definiowanie i dostosowywanie w\u0142asnych regu\u0142 analizy statycznej oraz dostarcza raporty o jako\u015bci kodu dla ca\u0142ego zespo\u0142u.<\/p>\n\n\n\n
***<\/p>\n\n\n\n
Je\u017celi interesuj\u0105 Ci\u0119 inne narz\u0119dzia wykorzystywane w bran\u017cy IT<\/a>, zobacz koniecznie wi\u0119cej artyku\u0142\u00f3w naszych ekspert\u00f3w. <\/p>\n\n\n
Wa\u017cne jest to, \u017ce analiza ta przeprowadzana jest zanim kod zostanie uruchomiony.<\/p>\n\n\n\n
W przypadku j\u0119zyka C# statyczna analiza kodu mo\u017ce by\u0107 wykonywana za pomoc\u0105 r\u00f3\u017cnych narz\u0119dzi, w tym specjalistycznych narz\u0119dzi IDE (ang. Integrated Development Environment) takich jak Microsoft Visual Studio, jak r\u00f3wnie\u017c zewn\u0119trznych narz\u0119dzi, np. SonarQube, ReSharper czy Code Analysis.<\/p>\n\n\n\n
Narz\u0119dzia te wykorzystuj\u0105 r\u00f3\u017cne techniki i algorytmy do skanowania kodu, uwzgl\u0119dniaj\u0105c regu\u0142y statycznej analizy kodu, kt\u00f3re pozwalaj\u0105 na wykrywanie potencjalnych b\u0142\u0119d\u00f3w. Korzystaj\u0105 r\u00f3wnie\u017c z podej\u015bcia opartego na sztucznej inteligencji i uczeniu maszynowym. Umo\u017cliwiaj\u0105 identyfikowanie b\u0142\u0119d\u00f3w i niesp\u00f3jno\u015bci na podstawie wcze\u015bniejszych wzorc\u00f3w oraz analizy du\u017cych zbior\u00f3w danych.<\/p>\n\n\n\n
Korzy\u015bci p\u0142yn\u0105ce ze statycznej analizy kodu<\/strong><\/h3>\n\n\n\nKorzy\u015bci wynikaj\u0105ce z zastosowania statycznej analizy kodu w j\u0119zyku C# s\u0105 liczne. Przede wszystkim pozwala ona na wykrycie b\u0142\u0119d\u00f3w we wczesnym etapie procesu wytwarzania oprogramowania, co prowadzi do oszcz\u0119dno\u015bci czasu i zmniejszenia koszt\u00f3w poprawek w p\u00f3\u017aniejszych fazach projektu. Po drugie, statyczna analiza kodu pozwala na identyfikowanie potencjalnych zagro\u017ce\u0144 bezpiecze\u0144stwa, co jest szczeg\u00f3lnie istotne w przypadku aplikacji, kt\u00f3re wymagaj\u0105 wysokiego poziomu bezpiecze\u0144stwa, takich jak aplikacje medyczne, do kierowania ruchem kolejowym lub lotniczym.<\/p>\n\n\n\n
Jednym z istotnych element\u00f3w analizy statycznej jest pokrycie kodu.<\/p>\n\n\n\n
Co to jest pokrycie kodu?<\/strong><\/h2>\n\n\n\nPokrycie kodu to miara okre\u015blaj\u0105ca, w jaki spos\u00f3b testy jednostkowe pokrywaj\u0105 kod \u017ar\u00f3d\u0142owy aplikacji. Im wy\u017cszy poziom pokrycia kodu, tym wi\u0119ksza pewno\u015b\u0107, \u017ce kod dzia\u0142a zgodnie z oczekiwaniami i jest bardziej odporny na b\u0142\u0119dy.<\/p>\n\n\n\n
Istniej\u0105 r\u00f3\u017cne rodzaje pokrycia kodu, takie jak pokrycie instrukcji, ga\u0142\u0119zi, wierszy lub funkcji. Ka\u017cdy z tych rodzaj\u00f3w ma swoje zalety i wady, za\u015b wyb\u00f3r konkretnego typu zale\u017cy od potrzeb projektu.<\/p>\n\n\n\n
Co to jest SonarQube?<\/strong><\/h2>\n\n\n\nSonarQube to platforma do ci\u0105g\u0142ej inspekcji jako\u015bci kodu, kt\u00f3ra zapewnia programistom kompleksowy zestaw narz\u0119dzi do analizy i pomiaru jako\u015bci ich kodu.<\/p>\n\n\n\n
Oferuje szereg funkcji, takich jak:<\/p>\n\n\n\n
\n- analiza kodu,<\/li>\n\n\n\n
- pokrycie kodu,<\/li>\n\n\n\n
- wykrywanie duplikat\u00f3w kodu,<\/li>\n\n\n\n
- skanowanie pod k\u0105tem podatno\u015bci, aby pom\u00f3c programistom w identyfikowaniu i rozwi\u0105zywaniu problem\u00f3w.<\/li>\n<\/ul>\n\n\n\n
SonarQube integruje si\u0119 z r\u00f3\u017cnymi narz\u0119dziami i j\u0119zykami, w tym C#, Java, Python i wieloma innymi, a mo\u017cna go u\u017cywa\u0107 zar\u00f3wno w \u015brodowisku lokalnym, jak i w chmurze. Jego przyjazny interfejs i szczeg\u00f3\u0142owe raportowanie sprawiaj\u0105, \u017ce jest \u0142atwy w u\u017cyciu i umo\u017cliwia szybkie wdro\u017cenie.<\/p>\n\n\n\n
W celu przeprowadzenia analizy kodu na naszej maszynie lokalnej, warto przyjrze\u0107 si\u0119 poszczeg\u00f3lnym u\u017cywanym komponentom i powi\u0105zaniom pomi\u0119dzy nimi (Ryc. 2):<\/p>\n\n\n\n<\/a>Ryc. 2 Komponenty u\u017cyte w celu przeprowadzenia analizy kodu<\/a><\/figcaption><\/figure>\n\n\n\nDost\u0119pne komponenty SonarQube:<\/p>\n\n\n\n
\n- Skaner \u2013 proces, kt\u00f3ry dokonuje analizy kodu \u017ar\u00f3d\u0142owego,<\/li>\n\n\n\n
- Baza danych \u2013 przechowywane s\u0105 w niej metryki zwi\u0105zane z jako\u015bci\u0105 kodu oraz konfiguracj\u0119,<\/li>\n\n\n\n
- Serwer SonarQube \u2013 udost\u0119pnia interfejs u\u017cytkownika, przetwarza raporty z analizy kodu i zapisuje je do bazy danych.<\/li>\n<\/ul>\n\n\n\n
Instalacja komponent\u00f3w SonarQube<\/strong><\/h2>\n\n\n\nServer MSSQL<\/strong><\/h3>\n\n\n\nW tym zakresie jest wiele tutoriali, wi\u0119c opis samej instalacji opuszcz\u0119. Istotne jest natomiast, aby spe\u0142ni\u0107 warunki przy tworzeniu bazy danych:<\/p>\n\n\n\n
\n- Collation MUST<\/strong> be case-sensitive (CS) and accent-sensitive (AS) (wersja angielska tego wymagania pozwala na \u0142atwiejsze jego zrozumienie), np. Polish_CS_AS.<\/li>\n\n\n\n
- po utworzeniu bazy nale\u017cy upewni\u0107 si\u0119, \u017ce mamy ustawion\u0105 opcj\u0119 READ_COMMITED_SNAPSHOT:<\/li>\n<\/ul>\n\n\n\n
SELECT is_read_committed_snapshot_on FROM sys.databases WHERE name='TwojaBazaSonarQube';<\/pre>\n\n\n\n
\n- Je\u015bli nie, ustawiamy j\u0105:<\/li>\n<\/ul>\n\n\n\n
ALTER DATABASE TwojaBazaSonarQube SET READ_COMMITTED_SNAPSHOT ON WITH ROLLBACK IMMEDIATE;<\/pre>\n\n\n\n
\n- Je\u015bli uruchamiamy instancj\u0119 SQL server lokalnie, warto pami\u0119ta\u0107 o ustawieniu konkretnego portu np. 1433.<\/li>\n<\/ul>\n\n\n\n
SonarQube server<\/strong><\/h3>\n\n\n\nJednym z wymaga\u0144 jest instalacja i konfiguracja Java Oracle JRE 17 lub OpenJDK 17. Skorzystajmy z drugiej opcji (Ryc. 3).<\/p>\n\n\n\n<\/a>Ryc. 3 Dost\u0119pne wersje JDK do pobrania<\/a><\/figcaption><\/figure>\n\n\n\nPo rozpakowaniu w naszej wybranej lokalizacji konfigurujemy systemowe zmienne \u015brodowiskowe:<\/p>\n\n\n\n
JAVA_HOME <\u015bcie\u017cka do rozpakowanego folderu>\n\nPATH <\u015bcie\u017cka do rozpakowanego folderu\/bin> lub %JAVA_HOME%\/bin\nSONAR_JAVA_PATH <\u015bcie\u017cka do rozpakowanego folderu\/bin\/java.exe> lub %JAVA_HOME%\/bin\/java.exe\n<\/pre>\n\n\n\nZ oficjalnej strony SonarQube pobieramy najnowsz\u0105 wersj\u0119 community (Ryc. 4) i rozpakowujemy:<\/p>\n\n\n\n<\/a>Rys. 4 Dost\u0119pne wersje SonarQube<\/a><\/figcaption><\/figure>\n\n\n\nKonfiguracja polega na odkomentowaniu i ustawieniu odpowiednich parametr\u00f3w w pliku conf\/sonar.properties. W naszym przypadku to jedynie konfiguracja po\u0142\u0105czenia z baz\u0105 danych:<\/p>\n\n\n\n
sonar.jdbc.username=<TwojaNazwaU\u017cytkownikaDb>\nsonar.jdbc.password=<TwojeHas\u0142o>\n\nsonar.jdbc.url=jdbc:sqlserver:\/\/localhost:1433;databaseName=<TwojaBazaSonarQube>;encrypt=false\n<\/pre>\n\n\n\nScanner<\/strong><\/h3>\n\n\n\nInstalujemy globalnie niezb\u0119dne narz\u0119dzie do przeprowadzenia skanu przy pomocy komendy:<\/p>\n\n\n\n
dotnet tool install dotnet-sonarscanner \u2013global<\/pre>\n\n\n\nUruchomienie<\/strong><\/h2>\n\n\n\nTeraz, gdy mamy ju\u017c wszystko zainstalowane oraz skonfigurowane, odpalmy instancj\u0119 serwera SonarQube poprzez wykonanie skryptu z folderu instalacyjnego serwera:<\/p>\n\n\n\n
bin\\windows-x86-64\\StartSonar.bat<\/pre>\n\n\n\nW konsoli powinni\u015bmy zobaczy\u0107 logi potwierdzaj\u0105ce uruchomienie serwera (Ryc. 5):<\/p>\n\n\n\n<\/a>Ryc. 5 Potwierdzenie uruchomienia serwera SonarQube<\/figcaption><\/figure>\n\n\n\nSerwer Web UI SonarQube nas\u0142uchuje domy\u015blnie na porcie 9000 (mo\u017cna to zmieni\u0107 w pliku sonar.properties), a credentiale, kt\u00f3re musimy zmieni\u0107 podczas pierwszego logowania, to admin\/admin).<\/p>\n\n\n\n<\/a>Ryc. 6 Strona startowa SonarQube<\/figcaption><\/figure>\n\n\n\nNajpierw stw\u00f3rzmy projekt w SonarQube, wybieraj\u0105c opcj\u0119 Manually (Ryc. 6), a nast\u0119pnie podaj\u0105c dane projektu (Ryc. 7):<\/p>\n\n\n\n<\/a>Ryc. 7 Tworzenie projektu w SonarQube<\/figcaption><\/figure>\n\n\n\nJako \u017ce wszystko do tej pory dzia\u0142o si\u0119 lokalnie, r\u00f3wnie\u017c do skanu u\u017cyjemy kodu znajduj\u0105cego si\u0119 na localhost. Wobec tego sklonujmy repozytorium (Ryc. 8), kt\u00f3re przygotowa\u0142em na cele tego artyku\u0142u i wybierzmy opcj\u0119 Locally widoczn\u0105 po stworzeniu projektu.<\/p>\n\n\n\n<\/a>Ryc. 8 Repozytorium zawieraj\u0105ce przyk\u0142adowy kod do analizy<\/a><\/figcaption><\/figure>\n\n\n\nIstotne, \u017ceby w projekcie testowym dodana by\u0142a referencja do coverlet.collector, dzi\u0119ki kt\u00f3remu mo\u017cemy zebra\u0107 dane po przeprowadzeniu test\u00f3w. Kolejne kroki to stworzenie tokena, kt\u00f3ry pozwoli na przeprowadzenie analizy oraz wyb\u00f3r rodzaju projektu \u2013 w naszym przypadku to .NET (Ryc. 9):<\/p>\n\n\n\n<\/a>Ryc. 9 Generowanie tokena i wyb\u00f3r rodzaju projektu<\/figcaption><\/figure>\n\n\n\nSonarQube podpowie nam, jakich komend powinni\u015bmy u\u017cy\u0107, aby przeprowadzi\u0107 analiz\u0119. Domy\u015blnie jednak nie proponuje wygenerowania pokrycia kodu, wobec tego rozszerzmy nieco propozycj\u0119 (poni\u017csze instrukcje dotycz\u0105 wersji Core .NET, a dla wersji .NET Framework prosz\u0119 odnie\u015b\u0107 si\u0119 do dokumentacji):<\/p>\n\n\n\n
dotnet sonarscanner begin \/k:\"SonarTest\" \/d:sonar.host.url=\"http:\/\/localhost:9000\" \/d:sonar.token=\"TwojTokenZSonarQube\" \/d:sonar.cs.opencover.reportsPaths=\"**\\coverage.opencover.xml\" \/d:sonar.qualitygate.wait=true\n\ndotnet build\n\ndotnet test --collect:\"XPlat Code Coverage;Format=opencover\"\n\ndotnet sonarscanner end \/d:sonar.token=\" TwojTokenZSonarQube \" <\/pre>\n\n\n\nPierwsza linia skryptu powy\u017cej odpowiada za start analizy, wskazuj\u0105c jednocze\u015bnie nazw\u0119 projektu, URL serwera, token oraz nazw\u0119 pliku raportu jaki zostanie wykorzystany w generowaniu raportu po stronie SonarQube. Drugiej komendy my\u015bl\u0119, \u017ce nie trzeba t\u0142umaczy\u0107. Komenda trzeci odpala testy oraz generuje plik w formacie opencover o nazwie coverage.opencover.xml. Ostatnia komenda odpowiada za zako\u0144czenie analizy. Na naszym ekranie powinni\u015bmy zobaczy\u0107 informacje o powodzeniu przeprowadzonej analizy (Ryc. 10):<\/p>\n\n\n\n<\/a>Ryc. 10 Rezultat analizy<\/figcaption><\/figure>\n\n\n\nWracaj\u0105c do web UI (Ryc. 11), mo\u017cemy w bardzo czytelnej formie przegl\u0105dn\u0105\u0107 wszystkie problemy, kt\u00f3re zosta\u0142y wykryte podczas analizy:<\/p>\n\n\n\n<\/a>Ryc. 11 Problemy wykryte podczas analizy SonarQube<\/figcaption><\/figure>\n\n\n\nCelem artyku\u0142u jest pokazanie, jak przeprowadzi\u0107 analiz\u0119 kodu<\/strong>, nie b\u0119d\u0119 natomiast omawia\u0142 interfejsu web SonarQube i mo\u017cliwo\u015bci, jakie nam daje.<\/p>\n\n\n\nWarto jeszcze wspomnie\u0107 o dost\u0119pnym rozszerzeniu do Visual Studio o nazwie SonarLint, kt\u00f3re pozwala nam m.in. na prac\u0119 w Connected Mode i bie\u017c\u0105c\u0105 analiz\u0119 naszego kodu. Po instalacji SonarLint nale\u017cy skonfigurowa\u0107 go do u\u017cycia z naszym serwerem SonarQube. W pierwszej kolejno\u015bci po stronie serwera musimy wygenerowa\u0107 User Token, klikaj\u0105c w My Account i wybieraj\u0105c zak\u0142adk\u0119 security (Ryc. 12):<\/p>\n\n\n\n<\/a>Ryc. 12 Generowanie User Token<\/figcaption><\/figure>\n\n\n\nKolejnym i ostatnim ju\u017c krokiem jest konfiguracja po\u0142\u0105czenia po stronie Visual Studio. W\u0142\u0105czamy widok Team Explorer, klikamy Connect i podajemy URL naszego serwera oraz wcze\u015bniej wygenerowany User Token (Ryc. 13):<\/p>\n\n\n\n<\/a>Ryc. 13 Konfiguracja SonarLint<\/figcaption><\/figure>\n\n\n\nTeraz pozostaje klikn\u0105\u0107 prawym przyciskiem na nasz projekt i wybra\u0107 opcj\u0119 Bind. W okienku Error List w VS powinni\u015bmy widzie\u0107 te same problemy, jak w web UI SonarQube (lokalnie tworzony jest taki sam ruleset, jak w profilach na serwerze i jest on zsynchronizowany) (Ryc. 14):<\/p>\n\n\n\n<\/a>Ryc. 14 Widoczne ostrze\u017cenia wykryte przez SonarLint<\/figcaption><\/figure>\n\n\n\nPodsumowanie<\/strong><\/h2>\n\n\n\nW artykule om\u00f3wi\u0142em narz\u0119dzie SonarQube, kt\u00f3re s\u0142u\u017cy do statycznej analizy kodu \u017ar\u00f3d\u0142owego w celu wykrycia b\u0142\u0119d\u00f3w, wyciek\u00f3w pami\u0119ci, nieprawid\u0142owych zastosowa\u0144 zmiennych, nieefektywnych fragment\u00f3w kodu i innych problem\u00f3w. Narz\u0119dzie to dzia\u0142a w oparciu o regu\u0142y analizy statycznej, kt\u00f3re okre\u015blaj\u0105 standardy kodowania i najlepsze praktyki.<\/p>\n\n\n\n
SonarQube umo\u017cliwia programistom definiowanie i dostosowywanie w\u0142asnych regu\u0142 analizy statycznej oraz dostarcza raporty o jako\u015bci kodu dla ca\u0142ego zespo\u0142u.<\/p>\n\n\n\n
***<\/p>\n\n\n\n
Je\u017celi interesuj\u0105 Ci\u0119 inne narz\u0119dzia wykorzystywane w bran\u017cy IT<\/a>, zobacz koniecznie wi\u0119cej artyku\u0142\u00f3w naszych ekspert\u00f3w. <\/p>\n\n\n
Pokrycie kodu to miara okre\u015blaj\u0105ca, w jaki spos\u00f3b testy jednostkowe pokrywaj\u0105 kod \u017ar\u00f3d\u0142owy aplikacji. Im wy\u017cszy poziom pokrycia kodu, tym wi\u0119ksza pewno\u015b\u0107, \u017ce kod dzia\u0142a zgodnie z oczekiwaniami i jest bardziej odporny na b\u0142\u0119dy.<\/p>\n\n\n\n
Istniej\u0105 r\u00f3\u017cne rodzaje pokrycia kodu, takie jak pokrycie instrukcji, ga\u0142\u0119zi, wierszy lub funkcji. Ka\u017cdy z tych rodzaj\u00f3w ma swoje zalety i wady, za\u015b wyb\u00f3r konkretnego typu zale\u017cy od potrzeb projektu.<\/p>\n\n\n\n
Co to jest SonarQube?<\/strong><\/h2>\n\n\n\nSonarQube to platforma do ci\u0105g\u0142ej inspekcji jako\u015bci kodu, kt\u00f3ra zapewnia programistom kompleksowy zestaw narz\u0119dzi do analizy i pomiaru jako\u015bci ich kodu.<\/p>\n\n\n\n
Oferuje szereg funkcji, takich jak:<\/p>\n\n\n\n
\n- analiza kodu,<\/li>\n\n\n\n
- pokrycie kodu,<\/li>\n\n\n\n
- wykrywanie duplikat\u00f3w kodu,<\/li>\n\n\n\n
- skanowanie pod k\u0105tem podatno\u015bci, aby pom\u00f3c programistom w identyfikowaniu i rozwi\u0105zywaniu problem\u00f3w.<\/li>\n<\/ul>\n\n\n\n
SonarQube integruje si\u0119 z r\u00f3\u017cnymi narz\u0119dziami i j\u0119zykami, w tym C#, Java, Python i wieloma innymi, a mo\u017cna go u\u017cywa\u0107 zar\u00f3wno w \u015brodowisku lokalnym, jak i w chmurze. Jego przyjazny interfejs i szczeg\u00f3\u0142owe raportowanie sprawiaj\u0105, \u017ce jest \u0142atwy w u\u017cyciu i umo\u017cliwia szybkie wdro\u017cenie.<\/p>\n\n\n\n
W celu przeprowadzenia analizy kodu na naszej maszynie lokalnej, warto przyjrze\u0107 si\u0119 poszczeg\u00f3lnym u\u017cywanym komponentom i powi\u0105zaniom pomi\u0119dzy nimi (Ryc. 2):<\/p>\n\n\n\n<\/a>Ryc. 2 Komponenty u\u017cyte w celu przeprowadzenia analizy kodu<\/a><\/figcaption><\/figure>\n\n\n\nDost\u0119pne komponenty SonarQube:<\/p>\n\n\n\n
\n- Skaner \u2013 proces, kt\u00f3ry dokonuje analizy kodu \u017ar\u00f3d\u0142owego,<\/li>\n\n\n\n
- Baza danych \u2013 przechowywane s\u0105 w niej metryki zwi\u0105zane z jako\u015bci\u0105 kodu oraz konfiguracj\u0119,<\/li>\n\n\n\n
- Serwer SonarQube \u2013 udost\u0119pnia interfejs u\u017cytkownika, przetwarza raporty z analizy kodu i zapisuje je do bazy danych.<\/li>\n<\/ul>\n\n\n\n
Instalacja komponent\u00f3w SonarQube<\/strong><\/h2>\n\n\n\nServer MSSQL<\/strong><\/h3>\n\n\n\nW tym zakresie jest wiele tutoriali, wi\u0119c opis samej instalacji opuszcz\u0119. Istotne jest natomiast, aby spe\u0142ni\u0107 warunki przy tworzeniu bazy danych:<\/p>\n\n\n\n
\n- Collation MUST<\/strong> be case-sensitive (CS) and accent-sensitive (AS) (wersja angielska tego wymagania pozwala na \u0142atwiejsze jego zrozumienie), np. Polish_CS_AS.<\/li>\n\n\n\n
- po utworzeniu bazy nale\u017cy upewni\u0107 si\u0119, \u017ce mamy ustawion\u0105 opcj\u0119 READ_COMMITED_SNAPSHOT:<\/li>\n<\/ul>\n\n\n\n
SELECT is_read_committed_snapshot_on FROM sys.databases WHERE name='TwojaBazaSonarQube';<\/pre>\n\n\n\n
\n- Je\u015bli nie, ustawiamy j\u0105:<\/li>\n<\/ul>\n\n\n\n
ALTER DATABASE TwojaBazaSonarQube SET READ_COMMITTED_SNAPSHOT ON WITH ROLLBACK IMMEDIATE;<\/pre>\n\n\n\n
\n- Je\u015bli uruchamiamy instancj\u0119 SQL server lokalnie, warto pami\u0119ta\u0107 o ustawieniu konkretnego portu np. 1433.<\/li>\n<\/ul>\n\n\n\n
SonarQube server<\/strong><\/h3>\n\n\n\nJednym z wymaga\u0144 jest instalacja i konfiguracja Java Oracle JRE 17 lub OpenJDK 17. Skorzystajmy z drugiej opcji (Ryc. 3).<\/p>\n\n\n\n<\/a>Ryc. 3 Dost\u0119pne wersje JDK do pobrania<\/a><\/figcaption><\/figure>\n\n\n\nPo rozpakowaniu w naszej wybranej lokalizacji konfigurujemy systemowe zmienne \u015brodowiskowe:<\/p>\n\n\n\n
JAVA_HOME <\u015bcie\u017cka do rozpakowanego folderu>\n\nPATH <\u015bcie\u017cka do rozpakowanego folderu\/bin> lub %JAVA_HOME%\/bin\nSONAR_JAVA_PATH <\u015bcie\u017cka do rozpakowanego folderu\/bin\/java.exe> lub %JAVA_HOME%\/bin\/java.exe\n<\/pre>\n\n\n\nZ oficjalnej strony SonarQube pobieramy najnowsz\u0105 wersj\u0119 community (Ryc. 4) i rozpakowujemy:<\/p>\n\n\n\n<\/a>Rys. 4 Dost\u0119pne wersje SonarQube<\/a><\/figcaption><\/figure>\n\n\n\nKonfiguracja polega na odkomentowaniu i ustawieniu odpowiednich parametr\u00f3w w pliku conf\/sonar.properties. W naszym przypadku to jedynie konfiguracja po\u0142\u0105czenia z baz\u0105 danych:<\/p>\n\n\n\n
sonar.jdbc.username=<TwojaNazwaU\u017cytkownikaDb>\nsonar.jdbc.password=<TwojeHas\u0142o>\n\nsonar.jdbc.url=jdbc:sqlserver:\/\/localhost:1433;databaseName=<TwojaBazaSonarQube>;encrypt=false\n<\/pre>\n\n\n\nScanner<\/strong><\/h3>\n\n\n\nInstalujemy globalnie niezb\u0119dne narz\u0119dzie do przeprowadzenia skanu przy pomocy komendy:<\/p>\n\n\n\n
dotnet tool install dotnet-sonarscanner \u2013global<\/pre>\n\n\n\nUruchomienie<\/strong><\/h2>\n\n\n\nTeraz, gdy mamy ju\u017c wszystko zainstalowane oraz skonfigurowane, odpalmy instancj\u0119 serwera SonarQube poprzez wykonanie skryptu z folderu instalacyjnego serwera:<\/p>\n\n\n\n
bin\\windows-x86-64\\StartSonar.bat<\/pre>\n\n\n\nW konsoli powinni\u015bmy zobaczy\u0107 logi potwierdzaj\u0105ce uruchomienie serwera (Ryc. 5):<\/p>\n\n\n\n<\/a>Ryc. 5 Potwierdzenie uruchomienia serwera SonarQube<\/figcaption><\/figure>\n\n\n\nSerwer Web UI SonarQube nas\u0142uchuje domy\u015blnie na porcie 9000 (mo\u017cna to zmieni\u0107 w pliku sonar.properties), a credentiale, kt\u00f3re musimy zmieni\u0107 podczas pierwszego logowania, to admin\/admin).<\/p>\n\n\n\n<\/a>Ryc. 6 Strona startowa SonarQube<\/figcaption><\/figure>\n\n\n\nNajpierw stw\u00f3rzmy projekt w SonarQube, wybieraj\u0105c opcj\u0119 Manually (Ryc. 6), a nast\u0119pnie podaj\u0105c dane projektu (Ryc. 7):<\/p>\n\n\n\n<\/a>Ryc. 7 Tworzenie projektu w SonarQube<\/figcaption><\/figure>\n\n\n\nJako \u017ce wszystko do tej pory dzia\u0142o si\u0119 lokalnie, r\u00f3wnie\u017c do skanu u\u017cyjemy kodu znajduj\u0105cego si\u0119 na localhost. Wobec tego sklonujmy repozytorium (Ryc. 8), kt\u00f3re przygotowa\u0142em na cele tego artyku\u0142u i wybierzmy opcj\u0119 Locally widoczn\u0105 po stworzeniu projektu.<\/p>\n\n\n\n<\/a>Ryc. 8 Repozytorium zawieraj\u0105ce przyk\u0142adowy kod do analizy<\/a><\/figcaption><\/figure>\n\n\n\nIstotne, \u017ceby w projekcie testowym dodana by\u0142a referencja do coverlet.collector, dzi\u0119ki kt\u00f3remu mo\u017cemy zebra\u0107 dane po przeprowadzeniu test\u00f3w. Kolejne kroki to stworzenie tokena, kt\u00f3ry pozwoli na przeprowadzenie analizy oraz wyb\u00f3r rodzaju projektu \u2013 w naszym przypadku to .NET (Ryc. 9):<\/p>\n\n\n\n<\/a>Ryc. 9 Generowanie tokena i wyb\u00f3r rodzaju projektu<\/figcaption><\/figure>\n\n\n\nSonarQube podpowie nam, jakich komend powinni\u015bmy u\u017cy\u0107, aby przeprowadzi\u0107 analiz\u0119. Domy\u015blnie jednak nie proponuje wygenerowania pokrycia kodu, wobec tego rozszerzmy nieco propozycj\u0119 (poni\u017csze instrukcje dotycz\u0105 wersji Core .NET, a dla wersji .NET Framework prosz\u0119 odnie\u015b\u0107 si\u0119 do dokumentacji):<\/p>\n\n\n\n
dotnet sonarscanner begin \/k:\"SonarTest\" \/d:sonar.host.url=\"http:\/\/localhost:9000\" \/d:sonar.token=\"TwojTokenZSonarQube\" \/d:sonar.cs.opencover.reportsPaths=\"**\\coverage.opencover.xml\" \/d:sonar.qualitygate.wait=true\n\ndotnet build\n\ndotnet test --collect:\"XPlat Code Coverage;Format=opencover\"\n\ndotnet sonarscanner end \/d:sonar.token=\" TwojTokenZSonarQube \" <\/pre>\n\n\n\nPierwsza linia skryptu powy\u017cej odpowiada za start analizy, wskazuj\u0105c jednocze\u015bnie nazw\u0119 projektu, URL serwera, token oraz nazw\u0119 pliku raportu jaki zostanie wykorzystany w generowaniu raportu po stronie SonarQube. Drugiej komendy my\u015bl\u0119, \u017ce nie trzeba t\u0142umaczy\u0107. Komenda trzeci odpala testy oraz generuje plik w formacie opencover o nazwie coverage.opencover.xml. Ostatnia komenda odpowiada za zako\u0144czenie analizy. Na naszym ekranie powinni\u015bmy zobaczy\u0107 informacje o powodzeniu przeprowadzonej analizy (Ryc. 10):<\/p>\n\n\n\n<\/a>Ryc. 10 Rezultat analizy<\/figcaption><\/figure>\n\n\n\nWracaj\u0105c do web UI (Ryc. 11), mo\u017cemy w bardzo czytelnej formie przegl\u0105dn\u0105\u0107 wszystkie problemy, kt\u00f3re zosta\u0142y wykryte podczas analizy:<\/p>\n\n\n\n<\/a>Ryc. 11 Problemy wykryte podczas analizy SonarQube<\/figcaption><\/figure>\n\n\n\nCelem artyku\u0142u jest pokazanie, jak przeprowadzi\u0107 analiz\u0119 kodu<\/strong>, nie b\u0119d\u0119 natomiast omawia\u0142 interfejsu web SonarQube i mo\u017cliwo\u015bci, jakie nam daje.<\/p>\n\n\n\nWarto jeszcze wspomnie\u0107 o dost\u0119pnym rozszerzeniu do Visual Studio o nazwie SonarLint, kt\u00f3re pozwala nam m.in. na prac\u0119 w Connected Mode i bie\u017c\u0105c\u0105 analiz\u0119 naszego kodu. Po instalacji SonarLint nale\u017cy skonfigurowa\u0107 go do u\u017cycia z naszym serwerem SonarQube. W pierwszej kolejno\u015bci po stronie serwera musimy wygenerowa\u0107 User Token, klikaj\u0105c w My Account i wybieraj\u0105c zak\u0142adk\u0119 security (Ryc. 12):<\/p>\n\n\n\n<\/a>Ryc. 12 Generowanie User Token<\/figcaption><\/figure>\n\n\n\nKolejnym i ostatnim ju\u017c krokiem jest konfiguracja po\u0142\u0105czenia po stronie Visual Studio. W\u0142\u0105czamy widok Team Explorer, klikamy Connect i podajemy URL naszego serwera oraz wcze\u015bniej wygenerowany User Token (Ryc. 13):<\/p>\n\n\n\n<\/a>Ryc. 13 Konfiguracja SonarLint<\/figcaption><\/figure>\n\n\n\nTeraz pozostaje klikn\u0105\u0107 prawym przyciskiem na nasz projekt i wybra\u0107 opcj\u0119 Bind. W okienku Error List w VS powinni\u015bmy widzie\u0107 te same problemy, jak w web UI SonarQube (lokalnie tworzony jest taki sam ruleset, jak w profilach na serwerze i jest on zsynchronizowany) (Ryc. 14):<\/p>\n\n\n\n<\/a>Ryc. 14 Widoczne ostrze\u017cenia wykryte przez SonarLint<\/figcaption><\/figure>\n\n\n\nPodsumowanie<\/strong><\/h2>\n\n\n\nW artykule om\u00f3wi\u0142em narz\u0119dzie SonarQube, kt\u00f3re s\u0142u\u017cy do statycznej analizy kodu \u017ar\u00f3d\u0142owego w celu wykrycia b\u0142\u0119d\u00f3w, wyciek\u00f3w pami\u0119ci, nieprawid\u0142owych zastosowa\u0144 zmiennych, nieefektywnych fragment\u00f3w kodu i innych problem\u00f3w. Narz\u0119dzie to dzia\u0142a w oparciu o regu\u0142y analizy statycznej, kt\u00f3re okre\u015blaj\u0105 standardy kodowania i najlepsze praktyki.<\/p>\n\n\n\n
SonarQube umo\u017cliwia programistom definiowanie i dostosowywanie w\u0142asnych regu\u0142 analizy statycznej oraz dostarcza raporty o jako\u015bci kodu dla ca\u0142ego zespo\u0142u.<\/p>\n\n\n\n
***<\/p>\n\n\n\n
Je\u017celi interesuj\u0105 Ci\u0119 inne narz\u0119dzia wykorzystywane w bran\u017cy IT<\/a>, zobacz koniecznie wi\u0119cej artyku\u0142\u00f3w naszych ekspert\u00f3w. <\/p>\n\n\n
SonarQube integruje si\u0119 z r\u00f3\u017cnymi narz\u0119dziami i j\u0119zykami, w tym C#, Java, Python i wieloma innymi, a mo\u017cna go u\u017cywa\u0107 zar\u00f3wno w \u015brodowisku lokalnym, jak i w chmurze. Jego przyjazny interfejs i szczeg\u00f3\u0142owe raportowanie sprawiaj\u0105, \u017ce jest \u0142atwy w u\u017cyciu i umo\u017cliwia szybkie wdro\u017cenie.<\/p>\n\n\n\n
W celu przeprowadzenia analizy kodu na naszej maszynie lokalnej, warto przyjrze\u0107 si\u0119 poszczeg\u00f3lnym u\u017cywanym komponentom i powi\u0105zaniom pomi\u0119dzy nimi (Ryc. 2):<\/p>\n\n\n\n Dost\u0119pne komponenty SonarQube:<\/p>\n\n\n\n W tym zakresie jest wiele tutoriali, wi\u0119c opis samej instalacji opuszcz\u0119. Istotne jest natomiast, aby spe\u0142ni\u0107 warunki przy tworzeniu bazy danych:<\/p>\n\n\n\n Jednym z wymaga\u0144 jest instalacja i konfiguracja Java Oracle JRE 17 lub OpenJDK 17. Skorzystajmy z drugiej opcji (Ryc. 3).<\/p>\n\n\n\n Po rozpakowaniu w naszej wybranej lokalizacji konfigurujemy systemowe zmienne \u015brodowiskowe:<\/p>\n\n\n\n Z oficjalnej strony SonarQube pobieramy najnowsz\u0105 wersj\u0119 community (Ryc. 4) i rozpakowujemy:<\/p>\n\n\n\n Konfiguracja polega na odkomentowaniu i ustawieniu odpowiednich parametr\u00f3w w pliku conf\/sonar.properties. W naszym przypadku to jedynie konfiguracja po\u0142\u0105czenia z baz\u0105 danych:<\/p>\n\n\n\n Instalujemy globalnie niezb\u0119dne narz\u0119dzie do przeprowadzenia skanu przy pomocy komendy:<\/p>\n\n\n\n Teraz, gdy mamy ju\u017c wszystko zainstalowane oraz skonfigurowane, odpalmy instancj\u0119 serwera SonarQube poprzez wykonanie skryptu z folderu instalacyjnego serwera:<\/p>\n\n\n\n W konsoli powinni\u015bmy zobaczy\u0107 logi potwierdzaj\u0105ce uruchomienie serwera (Ryc. 5):<\/p>\n\n\n\n Serwer Web UI SonarQube nas\u0142uchuje domy\u015blnie na porcie 9000 (mo\u017cna to zmieni\u0107 w pliku sonar.properties), a credentiale, kt\u00f3re musimy zmieni\u0107 podczas pierwszego logowania, to admin\/admin).<\/p>\n\n\n\n Najpierw stw\u00f3rzmy projekt w SonarQube, wybieraj\u0105c opcj\u0119 Manually (Ryc. 6), a nast\u0119pnie podaj\u0105c dane projektu (Ryc. 7):<\/p>\n\n\n\n Jako \u017ce wszystko do tej pory dzia\u0142o si\u0119 lokalnie, r\u00f3wnie\u017c do skanu u\u017cyjemy kodu znajduj\u0105cego si\u0119 na localhost. Wobec tego sklonujmy repozytorium (Ryc. 8), kt\u00f3re przygotowa\u0142em na cele tego artyku\u0142u i wybierzmy opcj\u0119 Locally widoczn\u0105 po stworzeniu projektu.<\/p>\n\n\n\n Istotne, \u017ceby w projekcie testowym dodana by\u0142a referencja do coverlet.collector, dzi\u0119ki kt\u00f3remu mo\u017cemy zebra\u0107 dane po przeprowadzeniu test\u00f3w. Kolejne kroki to stworzenie tokena, kt\u00f3ry pozwoli na przeprowadzenie analizy oraz wyb\u00f3r rodzaju projektu \u2013 w naszym przypadku to .NET (Ryc. 9):<\/p>\n\n\n\n SonarQube podpowie nam, jakich komend powinni\u015bmy u\u017cy\u0107, aby przeprowadzi\u0107 analiz\u0119. Domy\u015blnie jednak nie proponuje wygenerowania pokrycia kodu, wobec tego rozszerzmy nieco propozycj\u0119 (poni\u017csze instrukcje dotycz\u0105 wersji Core .NET, a dla wersji .NET Framework prosz\u0119 odnie\u015b\u0107 si\u0119 do dokumentacji):<\/p>\n\n\n\n Pierwsza linia skryptu powy\u017cej odpowiada za start analizy, wskazuj\u0105c jednocze\u015bnie nazw\u0119 projektu, URL serwera, token oraz nazw\u0119 pliku raportu jaki zostanie wykorzystany w generowaniu raportu po stronie SonarQube. Drugiej komendy my\u015bl\u0119, \u017ce nie trzeba t\u0142umaczy\u0107. Komenda trzeci odpala testy oraz generuje plik w formacie opencover o nazwie coverage.opencover.xml. Ostatnia komenda odpowiada za zako\u0144czenie analizy. Na naszym ekranie powinni\u015bmy zobaczy\u0107 informacje o powodzeniu przeprowadzonej analizy (Ryc. 10):<\/p>\n\n\n\n Wracaj\u0105c do web UI (Ryc. 11), mo\u017cemy w bardzo czytelnej formie przegl\u0105dn\u0105\u0107 wszystkie problemy, kt\u00f3re zosta\u0142y wykryte podczas analizy:<\/p>\n\n\n\n Celem artyku\u0142u jest pokazanie, jak przeprowadzi\u0107 analiz\u0119 kodu<\/strong>, nie b\u0119d\u0119 natomiast omawia\u0142 interfejsu web SonarQube i mo\u017cliwo\u015bci, jakie nam daje.<\/p>\n\n\n\n Warto jeszcze wspomnie\u0107 o dost\u0119pnym rozszerzeniu do Visual Studio o nazwie SonarLint, kt\u00f3re pozwala nam m.in. na prac\u0119 w Connected Mode i bie\u017c\u0105c\u0105 analiz\u0119 naszego kodu. Po instalacji SonarLint nale\u017cy skonfigurowa\u0107 go do u\u017cycia z naszym serwerem SonarQube. W pierwszej kolejno\u015bci po stronie serwera musimy wygenerowa\u0107 User Token, klikaj\u0105c w My Account i wybieraj\u0105c zak\u0142adk\u0119 security (Ryc. 12):<\/p>\n\n\n\n Kolejnym i ostatnim ju\u017c krokiem jest konfiguracja po\u0142\u0105czenia po stronie Visual Studio. W\u0142\u0105czamy widok Team Explorer, klikamy Connect i podajemy URL naszego serwera oraz wcze\u015bniej wygenerowany User Token (Ryc. 13):<\/p>\n\n\n\n Teraz pozostaje klikn\u0105\u0107 prawym przyciskiem na nasz projekt i wybra\u0107 opcj\u0119 Bind. W okienku Error List w VS powinni\u015bmy widzie\u0107 te same problemy, jak w web UI SonarQube (lokalnie tworzony jest taki sam ruleset, jak w profilach na serwerze i jest on zsynchronizowany) (Ryc. 14):<\/p>\n\n\n\n W artykule om\u00f3wi\u0142em narz\u0119dzie SonarQube, kt\u00f3re s\u0142u\u017cy do statycznej analizy kodu \u017ar\u00f3d\u0142owego w celu wykrycia b\u0142\u0119d\u00f3w, wyciek\u00f3w pami\u0119ci, nieprawid\u0142owych zastosowa\u0144 zmiennych, nieefektywnych fragment\u00f3w kodu i innych problem\u00f3w. Narz\u0119dzie to dzia\u0142a w oparciu o regu\u0142y analizy statycznej, kt\u00f3re okre\u015blaj\u0105 standardy kodowania i najlepsze praktyki.<\/p>\n\n\n\n SonarQube umo\u017cliwia programistom definiowanie i dostosowywanie w\u0142asnych regu\u0142 analizy statycznej oraz dostarcza raporty o jako\u015bci kodu dla ca\u0142ego zespo\u0142u.<\/p>\n\n\n\n ***<\/p>\n\n\n\n Je\u017celi interesuj\u0105 Ci\u0119 inne narz\u0119dzia wykorzystywane w bran\u017cy IT<\/a>, zobacz koniecznie wi\u0119cej artyku\u0142\u00f3w naszych ekspert\u00f3w. <\/p>\n\n\n<\/a>\n
Instalacja komponent\u00f3w SonarQube<\/strong><\/h2>\n\n\n\n
Server MSSQL<\/strong><\/h3>\n\n\n\n
\n
SELECT is_read_committed_snapshot_on FROM sys.databases WHERE name='TwojaBazaSonarQube';<\/pre>\n\n\n\n
\n
ALTER DATABASE TwojaBazaSonarQube SET READ_COMMITTED_SNAPSHOT ON WITH ROLLBACK IMMEDIATE;<\/pre>\n\n\n\n
\n
SonarQube server<\/strong><\/h3>\n\n\n\n
<\/a>JAVA_HOME <\u015bcie\u017cka do rozpakowanego folderu>\n\nPATH <\u015bcie\u017cka do rozpakowanego folderu\/bin> lub %JAVA_HOME%\/bin\nSONAR_JAVA_PATH <\u015bcie\u017cka do rozpakowanego folderu\/bin\/java.exe> lub %JAVA_HOME%\/bin\/java.exe\n<\/pre>\n\n\n\n
<\/a>sonar.jdbc.username=<TwojaNazwaU\u017cytkownikaDb>\nsonar.jdbc.password=<TwojeHas\u0142o>\n\nsonar.jdbc.url=jdbc:sqlserver:\/\/localhost:1433;databaseName=<TwojaBazaSonarQube>;encrypt=false\n<\/pre>\n\n\n\n
Scanner<\/strong><\/h3>\n\n\n\n
dotnet tool install dotnet-sonarscanner \u2013global<\/pre>\n\n\n\n
Uruchomienie<\/strong><\/h2>\n\n\n\n
bin\\windows-x86-64\\StartSonar.bat<\/pre>\n\n\n\n
<\/a><\/a><\/a><\/a><\/a>dotnet sonarscanner begin \/k:\"SonarTest\" \/d:sonar.host.url=\"http:\/\/localhost:9000\" \/d:sonar.token=\"TwojTokenZSonarQube\" \/d:sonar.cs.opencover.reportsPaths=\"**\\coverage.opencover.xml\" \/d:sonar.qualitygate.wait=true\n\ndotnet build\n\ndotnet test --collect:\"XPlat Code Coverage;Format=opencover\"\n\ndotnet sonarscanner end \/d:sonar.token=\" TwojTokenZSonarQube \" <\/pre>\n\n\n\n
<\/a><\/a><\/a><\/a><\/a>Podsumowanie<\/strong><\/h2>\n\n\n\n