Sonarqube的优点：

（1）支持所有语言的检测。一个工具，搞定所有。

（2）灵活扩展，插拔式使用。自定义的代码检测规则，可自定义插件，独立打成JAR包放到SONARQUBE插件目录下，重启即生效，开发使用非常方便。而且自带UT验证框架，开发。

（3）规则支持多租户隔离。租户可定制自己的规则集。

（4）生态强大，业界有诸多插件，与jenkins友好集成。

（5）部署使用便捷。

（6）架构松耦合，代理商sonarqube安全审计，通过与maven/jenkins等集成，将代码扫描的计算消耗迁移到业务或者构建方的资源上，极大的提升了自身的吞吐能力。

SonarQube 8.3.1安装说明（一）

找到SonarQube 8.3.1a安装程序

完成后拷贝到内网centos7上进行解压

Centos7内网安装数据库（用于存放sonar扫描结果）准备一台能上网的Centos7虚拟机

（1）安装存储库设置软件源，用于pg12包至本地

（2）创建一个文件夹用来存放后的rpm包

root用户登录后，进入想要存放rpm包的目录，执行以下命令创建pg12_rpms文件夹：

（3）rpm包，存放在pg12_rpms文件夹中

（4）在内网服务器上安装好的rpm包，注意一定要按以下顺序安装

（5）初始化数据库

（6）设置pg12开机启动/启动

（7）修改tgres密码（root用户下）

（8）开启远程访问（root用户下）

（9）信任远程连接（root用户下）

（10）重启数据库

（11）在数据库中创建sonarqube所需的库、用户名、密码（root用户下）

PS：如果使用pgAdmin等工具连接数据库的话，可以可视化创建库、用户、并授权，代理商sonarqube安全审计，无需执行以上命令

为什么要使用 SonarQube

SonarQube只是质量管理工具（平台）

SonarQube的产品涵盖了其创造者所称的七大品质：SonarQube不仅解决了错误，sonarqube安全审计，还解决了编码规则，测试覆盖，重复，代理商sonarqube安全审计，API文档，复杂性和架构，并在仪表盘中提供所有这些详细信息。

SonarQube 从以下几个方面检查我们的代码：

代码可靠性

检测错误

SonarQube提出的问题要么是明显的错误代码，要么是更可能没有给出预期行为的代码。查找蕞棘手的错误，轻松地在代码路径中导航，同时指出在多个位置发现的问题。

异味代码

“有臭味”的代码（可能）完成了应有的工作，但将很难维护。在蕞坏的情况下，这将令人迷惑，以至于维护人员可能会无意间引入错误。示例包括重复的代码，单元测试中未发现的代码以及过于复杂的代码。

安全漏洞

SonarQube可帮助您查找和跟踪代码中的不安全性。示例包括SQL注入，硬编码密码和管理不善的错误。

自定义规则

SonarQube代码分析器包括默认的质量配置文件，这些配置文件提供了无争议规则集的强大价值。默认的质量配置文件适用于大多数项目，但是您可以轻松调整它们以完全满足您的需求。

sonarqube安全审计-苏州华克斯公司由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是江苏 苏州 ,行业软件的见证者，多年来，公司贯彻执行科学管理、创新发展、诚实守信的方针，满足客户需求。在华克斯领导携全体员工热情欢迎各界人士垂询洽谈，共创华克斯更加美好的未来。