簡單好用的自動Code Review軟體：SonarQube

Published at 2024-10-24

在公司沒有Senior幫你code review，或者總是被LGTM嗎？SonarQube是個開源程式碼品質檢測軟體，安裝簡單且跨平台，有免費的community 版本，也有付費的企業版本。其核心概念是clean code，會去檢測你的程式碼是否符合「安全性、可靠性、可維護性」三項指標。

SonarQube 可以做什麼？

幫你抓bug
程式碼異味（Code Smells）識別
安全性漏洞（Security Vulnerabilities）掃描
重複程式碼（Duplications）分析
程式碼覆蓋率（Code Coverage）測量
技術債務（Technical Debt）評估
整合Jenkins、GitLab、GitHub 等工具

支援什麼程式語言？

這裡列出了SonarQube 支援的程式語言，這次分析的是前端的Next.js專案，使用到TypeScript（& JavaScript), HTML, CSS，這些都包含在SonarQube的支援範圍裡面。

第一步：本地安裝

安裝SonarQube有兩種方法，可以透過安裝Java和ZIP file達成，也可以直接用Docker Image安裝。由於我的電腦本身沒有安裝Java，我選擇比較簡單的Docker安裝方法。

1.到docker hub上找到 sonarqube

1docker pull sonarqube

2.啟動server:

1$ docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest

接著開啟瀏覽器，連到http://localhost:9000 會看到登入畫面。

輸入預設帳號密碼admin 會出現重設密碼的畫面，更新完密碼就可以進入dashboard。

SonarQube 可以整合多個平台，這邊為了方便示範，使用local project。

第二步：建立專案

輸入專案名稱，以及稍後會用到的project token的key name，預設是你的project display name。確認好專案的預設分支後，點擊next。

第三步：設定「新程式碼」的判斷標準

SonarQube 會專注在分析「新產生的」程式碼，也就是當你分析過一遍，第二遍時將會專注在你新產生的變更。這邊可以設定SoanrQube對「新程式碼」的判斷標準。由於目前沒有特定的需求，所以這邊選擇預設選項。

建立完成後，會來到這個畫面：有很多整合到CI平台的選項。為方便介紹，我們使用locally，在本地進行程式碼分析。

第四步：為專案產生token

按下generate，會為你的專案產生專用的token，這個token必須好好保管在隱密的地方。

按下contiune，SonarQube會請你針對自己的作業系統安裝相對應的Scanner。

第五步：安裝Scanner

安裝方法可以點擊Scanner的官方文件。

目前本機使用的作業系統是macOS M2，如果你不知道你的Mac應該安裝macOS x64還是 macOS AArch64，可以在terminal 輸入uname -a 如果顯示arm64，請安裝 macOSAArch64，如果顯示x64，請安裝macOS x64。雖然官方說明尚未正式支援ARM架構，但已有使用者回報可正常運作。目前安裝及使用下來沒有遇到問題。下載後解壓縮即可。

第六步：專案設定檔

在你想要分析的專案的根目錄，新增文件sonar-project.properties

官方文件已經附上了範例，

1# must be unique in a given SonarQube instance
2sonar.projectKey=my-personal-blog
3
4# --- optional properties ---
5
6# defaults to project key
7#sonar.projectName=My project
8# defaults to 'not provided'
9#sonar.projectVersion=1.0
10 
11# Path is relative to the sonar-project.properties file. Defaults to .
12#sonar.sources=.
13 
14# Encoding of the source code. Default is default system encoding
15#sonar.sourceEncoding=UTF-8
16

如果你想要做一些其他的設定，可以取消下面的註解。

projectName: 用來定義專案的名稱，如果不設定，將會直接使用projectKey。
projectVersion: 用來定義專案的版本，你可以設置這個屬性為 1.0，這樣當專案分析結果提交到SonarQube 時，它會顯示版本資訊。有利於追蹤版本。
sources:設定程式碼當前路徑，如果沒有特殊需求，保持. 即可
sourceEncoding: 編碼格式，預設為UTF-8

第七步：安裝SonarScanner CLI

1.打開你剛解壓縮的Scanner資料夾，找到/conf 資料夾，打開裡面的sonar-scanner.properties 檔案。
2.取消註解sonar.host.url，並將預設值更改為http://localhost:9000。更改後應該會像這樣：

1#----- SonarQube server URL (default to SonarCloud)
2sonar.host.url=http://localhost:9000

3.將<你的Scanner安裝位置>/bin加入全域環境變數，這邊使用zsh和vim，在終端機輸入vim ~/.zshrc （若使用Bash，輸入 vim ~/.bashrc。）接著開啟編輯模式，貼上

1export PATH=$PATH:<你的Scannar安裝路徑>/bin

如果你想知道你的Scannar安裝路徑是什麼，用終端機進到安裝的資料夾，再輸入pwd，就可以得到路徑。把<你的Scannar安裝路徑>替換掉，會長這樣：

1# This is for Scanner CLI
2export PATH=$PATH:/Downloads/your-downloaded-folder/bin

儲存後退出編輯器，想測試有沒有安裝成功，輸入sonar-scanner -h，你應該會看到終端機顯示以下畫面：

1usage: sonar-scanner [options]
2
3Options:
4-D,--define <arg>     Define property
5-h,--help             Display help information
6-v,--version          Display version information
7-X,--debug            Produce execution debug output
8

或者輸入sonar-scanner -v 確認版本資訊，如果沒有報錯，就表示CLI安裝成功囉！