Was ist SonarQube?

SonarQube ist eine Server-Anwendung, mit der die Qualität des Codes von Software-Projekten überprüft werden kann. Dabei werden viele Programmiersprachen unterstützt und es gibt für jede Sprache ein große Anzahl an Regeln, die überprüft werden. Regeln können dabei auch deaktiviert werden.

Ich will dieses Tool einsetzen, um meine Java-Projekte (JFXLibrary, JInfoViz und ThemeRiver) schrittweise auch von der Code-Qualität zu verbessern.

Installation und Start des Servers

Ich habe SonarQube auf Ubuntu Linux installiert und bin dabei folgendermaßen vorgegangen.

• Download der Free Community Edition von der Seite https://www.sonarqube.org/downloads/
• Entpacken der zip-Datei sonarqube-8.5.1.38104.zip und in das entpackte Verzeichnis navigieren.
• Mit dem Terminal in das entpackte Verzeichnis navigieren und dort im Unterverzeichnis bin/linux-x86-64 den Befehl ./sonar.sh start ausführen.
• Danach kann man im Browser die Adresse http://localhost:9000 aufrufen.

Wenn man mit der Analyse auf SonarQube fertig ist, kann man den Server wieder stoppen, in dem man im Terminal ./sonar.sh stop ausführt.

Eine Projekt-Analyse mit Ant starten

Da meine Projekte keine Maven-Projekte sind, sondern mit Ant kompiliert und gestartet werden, brauchte ich keine Projekte am SonarQube Server anlegen, sondern ging wie folgt vor:

• Am besten nach SonarScanner for Ant suchen. Ich bin dann auf folgende Seite gekommen: https://docs.sonarqube.org/latest/analysis/scan/sonarscanner-for-ant/.
• Dort kann man sich unter Download die Datei sonarqube-ant-task-2.7.0.1612.jar herunterladen.
• Ich habe mir dann einen Ordner angelegt, der SonarAnalyze heißt und darunter den Unterordner sonar. In diesen habe ich die Datei sonarqube-ant-task-2.7.0.1612.jar kopiert.

In weiterer Folge legte ich für jedes meiner Projekte eine Datei an mit dem Namen build.xml_<ProjektName>. Diese Dateien hatten folgenden Inhalt:

      
      
          [ProjektName]
      

      
      <property name="sonar.host.url" value="http://localhost:9000" />
      
      <property name="sonar.projectKey" value="org.sonarqube:sonarqube-scanner-ant" />
      <property name="sonar.projectName" value="[ProjektName]" />
      <property name="sonar.projectVersion" value="1.0" />
      <property name="sonar.sources" value="[ProjektName]/src" />
      <property name="sonar.java.binaries" value="[ProjektName]/build" />


      
      

          
              
              <classpath path="sonar/sonarqube-ant-task-2.7.0.1612.jar" />
          


          
          <sonar:sonar />
      
    

Die Property <property name="sonar.java.libraries" value="lib/*.jar" /> musste ich entfernen, weil ich keine *.jar-Dateien habe, die ich referenziere und somit kam bei der Analyse die Exception java.lang.IllegalStateException: No files nor directories matching 'lib/*.jar'.

Leider konnte ich in meiner bestehenden Konfiguration die Analyse nicht auf den SVN Checkouts durchführen, weil SonarQube SVN erkannt hat, und BLAME-Informationen abrufen wollte, die aber bei meiner Konfiguration nicht unterstützt wurden. Es kam daher bei mir immer der Fehler java.lang.IllegalStateException: Error when executing blame for file Caused by: org.tmatesoft.svn.core.SVNException: svn: E200007: Retrieval of mergeinfo unsupported by

In weiterer Folge habe ich mir ein Skript für jedes Projekt geschrieben, das folgende Schritte ausführt:

• Einen bestehenden Ordner für das Projekt löschen: rm -r <ProjektName&rt;
• Einen Ordner für das Projekt anlegen: mkdir <ProjektName&rt;
• In den Projekt-Ordner gehen: cd <ProjektName&rt;
• Ein SVN-Checkout für das Projekt in den Ordner durchführen. svn export <Repository&rt;
• Das Java-Projekt kompilieren: ant compile
• Wieder in das Root-Verzeichnis wechseln: cd ..
• Die richtige build.xml_<ProjektName> zur build.xml kopieren: cp build.xml_<ProjektName> build.xml
• Den Sonar-Ant-Analyse-Task ausführen: ant sonar

Ablauf zur Aktualisierung der Projekt-Analysen

Nachdem alles eingerichtet worden ist, braucht man dann nur noch folgende Schritte durchführen, um die SonarQube-Analysen der Projekte zu aktualisieren.

• SonarQube starten: Im SonarQube Verzeichnis bin/linux-x86-64 den Befehl ./sonar.sh start ausführen.
• Einmal den SonarQube Server im Browser öffnen, um zu überprüfen, ob er auch verfügbar ist.
• Das Analyse Skript für das gewünschte Projekt ausführen.
• Die Analyse in SonarQube ansehen.
• SonarQube stoppen: Im SonarQube Verzeichnis bin/linux-x86-64 den Befehl ./sonar.sh stop ausführen.

Bei meiner Community Version von SonarQube wird immer nur die letzte Analyse angezeigt und es sieht für mich auch so aus, als könnte ich keinen automatisierten Bericht rausschreiben. Daher habe ich mir im nächsten Abschnitt Gedanken darüber gemacht, wie ich den Fortschritt der Code-Qualität meiner Projekte am besten aufzeichne.

Aufzeichnung der Code-Qualität

Ich habe mir eine Excel-Datei (hier zum Download) erstellt. Diese besteht aus zwei Arbeitsblättern. Auf dem ersten Namens Daten habe ich für jede Analyse eine Zeile eingetragen mit einem Datum. In den Spalten befinden sich die Werte, der für mich wichtigen Daten. Im zweiten Arbeitsblatt namens Differenzen befinden sich für jeden Wert die Differenz zwischen zwei aufeinanderfolgenden Analysen. Wurden die Werte schlechter so sind sie rot eingezeichnet.

Im folgenden noch eine kurze Aufstellung der Spalten:

• Datum: Datum, an dem die Analyse durchgeführt wurde.
• Bugs - (Blocker|Critical|Major|Minor|Info): Wenn man in der Übersicht des Projekts in SonarQube auf Bugs klickt, dann sind die Bugs nach deren Severity gelistet.
• Bugs - Total: Summe der Bugs
• Vulnerability - (Blocker|Critical|Major|Minor|Info): Wenn man in der Übersicht des Projekts in SonarQube auf Vulnerabilities klickt, dann sind die Vulnerabilities nach deren Severity gelistet.
• Vulnerability - Total: Summe der Vulnerabilities
• Security Hotspots to Review: Auf der Übersicht des Projekts in SonarQube sieht man die Anzahl der Security Hotspots.
• Added Debt: Auf der Übersicht des Projekts in SonarQube sieht man die geschätzte Dauer, die man zur Behebung der Probleme brauchen würde.
• Code Smells - (Blocker|Critical|Major|Minor|Info): Wenn man in der Übersicht des Projekts in SonarQube auf Code Smells klickt, dann sind die Code Smells nach deren Severity gelistet.
• Code Smells - Total: Summe der Code Smells
• Lines of Code: Wenn man in der Übersicht des Projekts in SonarQube auf Duplicated Blocks klickt, so kann man links unter Size den Eintrag Lines of code finden.
• Duplicated lines: Wenn man in der Übersicht auf Duplicated Blocks klickt, so kann man links unter Duplications den Eintrag Duplicated LInes finden.