Concourse SonarQube资源镜像

概述

该镜像为Concourse CI提供SonarQube资源实现，用于将SonarQube代码质量扫描能力集成到CI/CD流程中。通过该资源，开发团队可在Concourse流水线中自动化执行代码静态分析，检测代码质量问题、安全漏洞及技术债务，确保代码符合预设质量标准。

核心功能与特性

• Sonar Scanner CLI版本升级：将Sonar Scanner CLI从4.7.0.2747更新至5.0.1.3006版本，支持SonarQube最新代码分析规则与特性。
• 认证参数优化：将SonarQube认证参数从sonar.login调整为sonar.token，符合SonarQube***推荐的令牌认证方式，提升API兼容性与安全性。
• 依赖版本可控：通过ARG参数管理Sonar Scanner、Maven等核心依赖版本及校验和，确保构建一致性与资源完整性。

使用场景

适用于Concourse CI/CD环境中的代码质量管控流程，支持Java、JavaScript、Python等多语言项目的静态代码分析，可集成于开发提交、PR评审或构建前检查等关键环节，实现代码质量问题的早期发现与修复。

核心变更说明

Dockerfile关键修改

执行脚本调整（assets/out）

diff
- scanner_opts+=" -Dsonar.login=\"${sonar_login}\""
+ scanner_opts+=" -Dsonar.token=\"${sonar_login}\""

说明：SonarQube API推荐使用sonar.token参数传递访问令牌，替代旧版sonar.login，增强认证安全性，同时适配SonarQube 8.9+版本的API要求。

使用方法

Concourse Pipeline配置示例

1. 定义资源类型

yaml
resource_types:
- name: sonarqube-resource
  type: docker-image
  source:
    repository: [镜像仓库地址]  # 替换为实际镜像仓库
    tag: [镜像标签]             # 替换为实际标签

2. 配置资源实例

yaml
resources:
- name: sonar-scan
  type: sonarqube-resource
  source:
    sonar_host_url: [***]  # SonarQube服务器URL
    login: ((sonar-token))                         # SonarQube访问令牌（通过Vault或 CredHub 管理）

3. 在Job中使用

yaml
jobs:
- name: code-quality-check
  plan:
  - get: app-source  # 获取源代码资源
  - put: sonar-scan  # 执行SonarQube扫描
    params:
      project_key: "my-app"           # SonarQube项目唯一标识
      project_name: "My Application"  # 项目名称
      sources: "app-source/src"       # 源代码目录
      additional_args: "-Dsonar.java.coveragePlugin=jacoco"  # 可选：额外扫描参数

参数说明

注意事项

• SonarQube兼容性：推荐使用SonarQube 8.9 LTS及以上版本，以确保与Sonar Scanner CLI 5.0.1的最佳兼容性。
• 令牌权限：SonarQube令牌需至少具备"Execute Analysis"权限，建议遵循最小权限原则。
• 网络配置：确保Concourse Worker可访问SonarQube服务器及镜像仓库地址。
• 依赖检查：使用前建议验证镜像中Maven、JDK等基础依赖版本是否符合项目构建要求。