SonarQube系列二、分析dotnet core/C#代码

【前言】

本系列主要讲述sonarqube的安装部署以及如何集成jenkins自动化分析.netcore项目。目录如下:

  1. SonarQube系列一、Linux安装与部署
  2. SonarQube系列二、分析dotnet core/C#代码
  3. SonarQube系列三、如何集成jenkins实现分析自动化

【实现功能】

  这篇文章将要介绍的主要内容如下:

  1. sonarqube分析.netcore项目下的C#代码
  2. sonarqube生成单元测试报告(代码覆盖率)

【SonarQube分析C#代码】

1.sonarqube账号token的生成

sonarqube支持生成用户token,以便在命令行或者脚本中使用token代表账号操作sonarbue,避免造成账号密码的泄露。

点击sonarqube首页右上角头像,进入我的账号

SonarQube系列二、分析dotnet core/C#代码

然后进入安全tab页,随便输入个标识,点击生成,生成一个账号专属的token

SonarQube系列二、分析dotnet core/C#代码

生成的token只会显示一次,且后续无法查询,因此先把他手动备份下来,后续会用到。

2.安装netcore分析器

分析netcore项目,微软和sonar一起协作做了很多工作,大大简化了我们的工具使用,官网可以查看相关工具及命令:https://docs.sonarqube.org/latest/analysis/scan/sonarscanner-for-msbuild/

我们按照官方提示,找到 MSBuild .NET Core Global Tool ,直接安装dotnet全局工具

dotnet tool install --global dotnet-sonarscanner --version 4.3.1

安装完后,我们把我们的sonar的token注入到该命令的配置中,以便在执行命令时自动关联到对应账户的sonar。

在dotnet tool的安装目录下,找到一个叫 SonarQube.Analysis.xml 的配置文件。

我的xml在该目录下:/root/.dotnet/tools/.store/dotnet-sonarscanner/4.6.2/dotnet-sonarscanner/4.6.2/tools/netcoreapp2.1/any

然后我们在对应节点将 sonarweb 的地址和 token 填写上即可。

SonarQube系列二、分析dotnet core/C#代码

当然如果不配置也是可以的,那么就需要每次执行命令时将token一起当作参数填写,肯定是不如一次性配置好方便的。

3.开始分析代码

首先随便找个项目,这个就不多说了。有了代码以后然后进入代码目录,依次输入下面命令:

开始命令,下面命令已经备注了三个参数的用途

dotnet sonarscanner begin /k:这里填SonarQube将要生成的项目的唯一编码 /n:sonarqube中将要显示的项目名称 /v:当前执行活动号(可以动态递增或使用时间戳)

编译命令,build 后面的参数为 dotnet core 项目的 xxx.sln 文件的完整路径

dotnet build xxx.csproj

分析并将分析结果推送到sonarqube站点

dotnet sonarscanner end 

例如:

dotnet sonarscanner begin /k:SevenTiny.Bantina /n:SevenTiny.Bantina /v:11

dotnet build 20-Solution/SevenTiny.Bantina.sln

dotnet sonarscanner end 

经过一段时间以后,可以看到输入日志已经 push 到 sonarqube 站点成功,那么就可以去 sonarqube 站点查看结果了,项目会通过 api 自动创建。

SonarQube系列二、分析dotnet core/C#代码

SonarQube系列二、分析dotnet core/C#代码

上述步骤并不会有覆盖率,先忽略,我们后面会继续讲解如何提供单元测试覆盖率。

我们点击标题进入项目详情页:

SonarQube系列二、分析dotnet core/C#代码

这里主要报告了几个指标(sonar有默认标准,如果不达标会报警,例如顶端红色错误提示):

Bugs 漏洞:代码中的重大漏洞,可能影响到项目的正常运行,急需改正;

异味:无关紧要的编码不规范问题,建议改正,一般不会影响功能,点开详细信心可以看到规范的使用案例,对规范自己的变成水平有相当大的帮助;

覆盖率:项目的单元测试情况;

重复:项目中的重复代码块,建议重构;

sonarqube 还提供了很多图表来展示多维度的代码分析情况。

【添加单元测试信息】

经过上述步骤并不能实现单元测试的结果展示,事实上,sonarqube 本身也办不到对单元测试的分析,通常的做法是将其他工具生成的单元测试结果整合到 sonarqube 中,借助 sonarqube 来更好地展示单元测试结果。

首先我们的项目要有专门的单元测试项目,并且规范地使用 Assert 等单元测试语句对项目代码进行了单元测试。

1.使用 coverlet 分析单元测试覆盖率

在单元测试项目安装 coverlet.msbuild nuget包(单测项目,不是正式的项目),这种方式便于和dotnet test命令集成。这种方式下, 当它被启用后, 它会集成到dotnet test 这个命令架构里, 在测试运行后自动生成覆盖率报告.

2.通过 dotnet test 命令输出单元测试结果

dotnet test 是 dotnet 默认的集成工具,用于执行单元测试项目并输出测试结果。

执行命令

dotnet test xxxtest.csproj --logger:"trx;LogFileName=test.trx" /p:CollectCoverage=true /p:CoverletOutputFormat=opencover /p:CoverletOutput=./TestResults/

上述命令指定了某个测试项目,并输出测试结果为 test.trx 文件,同时输出单元测试覆盖率分析文件为 opencover 格式的文件。

也就是说,上述命令会生成两个文件,一个是单测的结果,一个是单测覆盖率的详情描述 xml 文件。

SonarQube系列二、分析dotnet core/C#代码

3.将单测文件集成到sonarqube

打开 sonarqube 的单个项目设置(不是全局设置)

SonarQube系列二、分析dotnet core/C#代码

然后找到对应语言的页签,当然我们今天的语言是C#,找到单元测试覆盖率 opencover 的设置区域,用通配符 ** 去匹配生成的单测覆盖率文件。

SonarQube系列二、分析dotnet core/C#代码

还有单元测试报告文件设置

SonarQube系列二、分析dotnet core/C#代码

这样下次执行 dotnet sonarscanner 命令的时候,就会自动把单元测试的相关文件输出结果也推送到 sonarqube 中。

最后的结果也就是图中展示的那样,显示出了项目代码的单元测试覆盖率,甚至是本次有提交新代码的时候新代码的单元测试覆盖率,如果低于阈值(默认80%)则会出现上面的报警:

SonarQube系列二、分析dotnet core/C#代码

点进单元测试覆盖率详情页,我们可以看到更加详细地对单元测试的描述,例如覆盖了多少行代码,漏掉了多少行代码:

SonarQube系列二、分析dotnet core/C#代码

点开具体的代码行还可以看到那些行有单元测试的覆盖,总之是非常详尽了...

【扩展】

SonarQube 如何排除不需要分析地代码文件?

有些时候,引入了很多第三方的库(尤其是web项目的jquery库),我们并不需要对第三方引用的库进行分析(甚至会因为包含的杂七杂八的的各种语言脚本太多),那么我们就要将无关的代码排除。

 打开单独项目的设置(非全局设置)

SonarQube系列二、分析dotnet core/C#代码

找到排除,可以采用通配符排除文件或文件夹,下面有通配符的使用介绍。

SonarQube系列二、分析dotnet core/C#代码

当然了也可以指定哪些文件是需要包含的,这样可以按需进行分析。

【总结】

使用 sonarqube 分析dotnet core/C#代码的全部过程已经完成了,下一章我们会将过程中的所有命令脚本化,使其便于集成CI/CD工具,也便于脚本通用化,方便地应用到多个项目中。

如有任何疑问,欢迎在评论区讨论~

SonarQube系列二、分析dotnet core/C#代码

上一篇:API接口TOKEN设计


下一篇:【转】C#中的Explicit和Implicit