SonarQube系列二、分析dotnet core/C#代码
【前言】
本系列主要讲述sonarqube的安装部署以及如何集成jenkins自动化分析.netcore项目。目录如下:
- SonarQube系列一、Linux安装与部署
- SonarQube系列二、分析dotnet core/C#代码
- SonarQube系列三、如何集成jenkins实现分析自动化
【实现功能】
这篇文章将要介绍的主要内容如下:
- sonarqube分析.netcore项目下的C#代码
- sonarqube生成单元测试报告(代码覆盖率)
【SonarQube分析C#代码】
1.sonarqube账号token的生成
sonarqube支持生成用户token,以便在命令行或者脚本中使用token代表账号操作sonarbue,避免造成账号密码的泄露。
点击sonarqube首页右上角头像,进入我的账号
然后进入安全tab页,随便输入个标识,点击生成,生成一个账号专属的token
生成的token只会显示一次,且后续无法查询,因此先把他手动备份下来,后续会用到。
2.安装netcore分析器
分析netcore项目,微软和sonar一起协作做了很多工作,大大简化了我们的工具使用,官网可以查看相关工具及命令:https://docs.sonarqube.org/latest/analysis/scan/sonarscanner-for-msbuild/
我们按照官方提示,找到 MSBuild .NET Core Global Tool ,直接安装dotnet全局工具
dotnet tool install --global dotnet-sonarscanner --version 4.3.1
安装完后,我们把我们的sonar的token注入到该命令的配置中,以便在执行命令时自动关联到对应账户的sonar。
在dotnet tool的安装目录下,找到一个叫 SonarQube.Analysis.xml 的配置文件。
我的xml在该目录下:/root/.dotnet/tools/.store/dotnet-sonarscanner/4.6.2/dotnet-sonarscanner/4.6.2/tools/netcoreapp2.1/any
然后我们在对应节点将 sonarweb 的地址和 token 填写上即可。
当然如果不配置也是可以的,那么就需要每次执行命令时将token一起当作参数填写,肯定是不如一次性配置好方便的。
3.开始分析代码
首先随便找个项目,这个就不多说了。有了代码以后然后进入代码目录,依次输入下面命令:
开始命令,下面命令已经备注了三个参数的用途
dotnet sonarscanner begin /k:这里填SonarQube将要生成的项目的唯一编码 /n:sonarqube中将要显示的项目名称 /v:当前执行活动号(可以动态递增或使用时间戳)
编译命令,build 后面的参数为 dotnet core 项目的 xxx.sln 文件的完整路径
dotnet build xxx.csproj
分析并将分析结果推送到sonarqube站点
dotnet sonarscanner end
例如:
dotnet sonarscanner begin /k:SevenTiny.Bantina /n:SevenTiny.Bantina /v:11 dotnet build 20-Solution/SevenTiny.Bantina.sln dotnet sonarscanner end
经过一段时间以后,可以看到输入日志已经 push 到 sonarqube 站点成功,那么就可以去 sonarqube 站点查看结果了,项目会通过 api 自动创建。
上述步骤并不会有覆盖率,先忽略,我们后面会继续讲解如何提供单元测试覆盖率。
我们点击标题进入项目详情页:
这里主要报告了几个指标(sonar有默认标准,如果不达标会报警,例如顶端红色错误提示):
Bugs 漏洞:代码中的重大漏洞,可能影响到项目的正常运行,急需改正;
异味:无关紧要的编码不规范问题,建议改正,一般不会影响功能,点开详细信心可以看到规范的使用案例,对规范自己的变成水平有相当大的帮助;
覆盖率:项目的单元测试情况;
重复:项目中的重复代码块,建议重构;
sonarqube 还提供了很多图表来展示多维度的代码分析情况。
【添加单元测试信息】
经过上述步骤并不能实现单元测试的结果展示,事实上,sonarqube 本身也办不到对单元测试的分析,通常的做法是将其他工具生成的单元测试结果整合到 sonarqube 中,借助 sonarqube 来更好地展示单元测试结果。
首先我们的项目要有专门的单元测试项目,并且规范地使用 Assert 等单元测试语句对项目代码进行了单元测试。
1.使用 coverlet 分析单元测试覆盖率
在单元测试项目安装 coverlet.msbuild nuget包(单测项目,不是正式的项目),这种方式便于和dotnet test命令集成。这种方式下, 当它被启用后, 它会集成到dotnet test 这个命令架构里, 在测试运行后自动生成覆盖率报告.
2.通过 dotnet test 命令输出单元测试结果
dotnet test 是 dotnet 默认的集成工具,用于执行单元测试项目并输出测试结果。
执行命令
dotnet test xxxtest.csproj --logger:"trx;LogFileName=test.trx" /p:CollectCoverage=true /p:CoverletOutputFormat=opencover /p:CoverletOutput='./TestResults/'
上述命令指定了某个测试项目,并输出测试结果为 test.trx 文件,同时输出单元测试覆盖率分析文件为 opencover 格式的文件。
也就是说,上述命令会生成两个文件,一个是单测的结果,一个是单测覆盖率的详情描述 xml 文件。
3.将单测文件集成到sonarqube
打开 sonarqube 的单个项目设置(不是全局设置)
然后找到对应语言的页签,当然我们今天的语言是C#,找到单元测试覆盖率 opencover 的设置区域,用通配符 ** 去匹配生成的单测覆盖率文件。
还有单元测试报告文件设置
这样下次执行 dotnet sonarscanner 命令的时候,就会自动把单元测试的相关文件输出结果也推送到 sonarqube 中。
最后的结果也就是图中展示的那样,显示出了项目代码的单元测试覆盖率,甚至是本次有提交新代码的时候新代码的单元测试覆盖率,如果低于阈值(默认80%)则会出现上面的报警:
点进单元测试覆盖率详情页,我们可以看到更加详细地对单元测试的描述,例如覆盖了多少行代码,漏掉了多少行代码:
点开具体的代码行还可以看到那些行有单元测试的覆盖,总之是非常详尽了…
【扩展】
SonarQube 如何排除不需要分析地代码文件?
有些时候,引入了很多第三方的库(尤其是web项目的jquery库),我们并不需要对第三方引用的库进行分析(甚至会因为包含的杂七杂八的的各种语言脚本太多),那么我们就要将无关的代码排除。
打开单独项目的设置(非全局设置)
找到排除,可以采用通配符排除文件或文件夹,下面有通配符的使用介绍。
当然了也可以指定哪些文件是需要包含的,这样可以按需进行分析。
【总结】
使用 sonarqube 分析dotnet core/C#代码的全部过程已经完成了,下一章我们会将过程中的所有命令脚本化,使其便于集成CI/CD工具,也便于脚本通用化,方便地应用到多个项目中。
如有任何疑问,欢迎在评论区讨论~