在请求拉取时集成SonarQube和BitBucket

Question

我是BitBucket的新手，并且已经继承了一个项目，现在正在努力提高速度并完成代码。我们有一个DevSecOps管道，使用BitBucket作为配置管理，SonarQube作为我们的静态分析引擎，并根据开发团队的偏好选择Maven或Jenkins。Java是开发语言。

如果在拉取请求中的代码的SonarQube分析中发现关键或高问题，我的技术主管希望阻止合并拉取请求。因此，我正在寻找一种方法来触发拉取请求的SonarQube扫描，如果它失败(发现关键问题)，合并将不允许通过或发送一些通知。也希望分支上预先存在的问题不会触发通知(遗留问题不会破坏合并请求)。

我看到BitBucket的插件是“拉式请求装饰器”，但它们缺乏文档(不管怎样，开源的是文档)。

Answer 1

绝对适合您的情况的工具是Sonar for Bitbucket。

它很好地集成到了jenkins和sonarqube的构建管道中。此外，为了触发你的分析，我建议使用插件pullrequest-notifier，它允许你只对特殊的"pullrequest“事件做出反应，当涉及到特征分支的声纳分析时，这可以大大减少构建的数量。

关于Sonar for Bitbucket

只是作为一个完整的信息！Sonarqube目前不建议对功能分支进行分支分析。因为这将为每个项目和每个分析分支生成一个单独的sonarqube项目。Bitbucket的声纳会把它们清理干净。

在未来会有一个变化，这似乎已经在SonarSource城市巡回演出中呈现。当此更改生效时，您将能够以更“分支”的风格进行分析！

Answer 2

您可以在Jenkins中对功能分支进行静态代码分析，并使用Violation Comments To Bitbucket Server Plugin向Bitbucket Server报告。

还有一堆其他的Gradle, and Maven, plugins来处理发现的违规行为。