SonarQube之采购选型参考
SonarQube是DevOps实践中主流的一款质量内建工具,过插件机制,Sonar 可以集成不同的测试工具,代码分析工具,以及持续集成工具,比如pmd-cpd、checkstyle、findbugs、Jenkins。
通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便地对不同规模和种类的工程进行代码质量管理。同时 Sonar 还对大量的持续集成工具提供了接口支持,可以很方便地在持续集成中使用 Sonar。一般情况下,社区版还是可以满足大部分场景的,即便是C/C++社区也是有其他开源插件的。
工作原理
SonarQube 并不是简单地将各种质量检测工具的结果(例如 FindBugs,PMD 等)直接展现给客户,而是通过不同的插件算法来对这些结果进行再加工,最终以量化的方式来衡量代码质量,从而方便地对不同规模和种类的工程进行相应的代码质量管理。 SonarQube 在进行代码质量管理时,会从图 1 所示的七个纬度来分析项目的质量。
SonarQube 可以支持 25+ 种编程语言,针对不同的编程语言其所提供的分析方式也有所不同: 对于所有支持的编程语言,SonarQube 都提供源了代码的静态分析功能; 对于某些特定的编程语言,SonarQube 提供了对编译后代码的静态分析功能,比如 java 中的 class file 和 jar 和 C# 中的 dll file 等; 对于某些特定的编程语言,SonarQube 还可以提供对于代码的动态分析功能,比如 java 和 C# 中的单元测试的执行等。
远程客户机可以通过各种不同的分析机制,从而将被分析的项目代码上传到 SonarQube server 并进行代码质量的管理和分析,SonarQube 还会通过 Web API 将分析的结果以可视化、可度量的方式展示给用户
软硬件要求
- 硬件上对磁盘读写性能要求高,服务涉及elasticsearch索引,IO读写和分析的代码量直接影响sonarqube性能;实际生产环境建议使用专用高速I/O存储
- SonarQube server 不支持32位,但 SonarQube scannner支持32位
- SonarQube server 仅支持Java11; SonarQube scanners 同时支持Java8&11
- 数据库支持PostgreSQL, MSSQL Server, Oracle, 不再支持Mysql
版本分类
类型 | 全称 | 说明 |
---|---|---|
CE | Community Edition | 社区版 |
DE | Developer Edition | 开发版(具有CE版所有特性) |
EE | Enterprise Edition | 企业版(具有DE版所有特性) |
DCE | Data Center Edition | 数据中心版(具有EE版所有特性) |
特性费用对比
//www.sonarsource.com/plans-and-pricing/community/
//www.sonarsource.com/plans-and-pricing/developer/
//www.sonarsource.com/plans-and-pricing/enterprise/
//www.sonarsource.com/plans-and-pricing/data-center/
类型 | 价格 | LOC |
---|---|---|
CE | 免费 | – |
DE | 120欧元-5万欧元 | 10万行代码-20M行代码 |
EE | 1.5万欧元-18万欧元 | 1M行代码-100M行代码 |
DCE | 10万欧元-上不封顶 | 20M代码- |
CE-社区免费版本
除了支持15种编程语言,CE版还就有如下特性
- 支持5种IDE
- 支持60+的插件
- 支持SonarLint
- 支持Quality Gate
- 快速确认近期修改代码的问题
开源版本不支持一个项目多分支的形式,只能按照特性分支的名称来生成相对应的扫描项目(会产生很多Sonarqube项目)。
解决方案:假如这个项目有F1,F2等特性分支,在每次对其中特性分支构建扫描时会配置sonar扫描参数(projectName)为 “服务名称_特性分支名称”,这样相当于每个特性分支都对应一个扫描项目。但又间接的带来了一些问题。
- 每个特性分支生成一个项目,假如特性分支被删除呢?或者分支很多呢?
- 对于SonarQube管理员来说很难管理,增加了任务负担。
DE-开发者版本
相较于CE版,增加了C/C++、Objective-C、T-SQL、ABAP、PL/SQL和Swift等,详细信息如下所示:
DE版具有CE版所有特性,在此基础之上,该版本还有如下特性增强:
- 支持22种编程语言
- 支持Pull Request的分支代码分析
- 安全性的增强:Security Hotspots & Security Vulnerabilities的全面支持
- 支持SonarLint的智能提示,更好地与IDE进行集成
EE-企业版本
相较于DE版,增加了Apex、COBOL、PL/1、RPG和VB6等五种,详细信息如下所示:
EE版具有DE版所有特性,在此基础之上,该版本还有如下特性增强:
- 支持27种编程语言
- 支持对于Portfolio的管理
- 提供OWASP / SANS的安全报告
- 提供可配置的SAST 分析引擎
DCE-数据中心版本
EE版具有EE版所有特性,此版本主要对于高可用性和横向扩展性有更好的支持。
如何计算费用?
Sonarqube是按照扫描的行数进行计费的,以年为单位进行订阅。关于行数如何解读?假如你买100W行扫描量,那么这个量是被所有项目共享的,但扫描的行数超过100W行,分析服务将会终止。当然如果你删除项目重置,扫描量就会恢复。