sonarqube增加阿里p3c规则扫描

背景

​ 搞了3个月代码扫描，刚刚搞定安全热点问题的筛选与确认，接下来准备搞java规约扫描的问题分析，但是看着扫出来动不动10K以上的那些项目，真是心塞，是规则太严格，还是误报？分析了几个rule发现真正开发很少有按标准的写法，这不行啊，那以后开发将是一件很痛苦的事，正好领导发了阿里的开发指南，正好把阿里的P3C给弄上扫描平台，只用扫这些规则即可满足现阶段的要求。

相关资料

阿里p3c规范

sonar集成插件

关于集成插件这个，github上有很多个人开发的集成插件，有些提供jar包直接下载可以用，有些需要git clone下来源码进行·mvn install自己打jar包，个人觉得都行，但根据经验，有大部分的项目拿下来编译是不通过的，少量可用。

文件下载地址

sonar-pmd-plugin.jar

链接：https://pan.baidu.com/s/1-r53n5w9lBA1Yjm5nSq_Qg
提取码：q4ba

版本对应

sonarqube	sonar-pmd-plugin	pgsql
8.4	3.2	9.2.4

操作步骤

1. 加插件

   把sonar-pmd-plugin-3.2.0-SNAPSHOT.jar存放进sonarqube应用/data/PRG/sonarqube-8.4.1.35646/extensions/plugins

2. 上传成功后，重启应用

   特别注意，如果是root用户上传后，需chown -R sonarqube:sonarqube *,否则重启不成功

3. 创建规则

   管理员帐户登陆sonarqube，【质量配置】-创建，填写【名称】和选择【语言】，点击【创建】

   

4. 激活规则

   点击创建后进入P3C规则界面，点击【更多激活规则】
   

   进入激活界面后，输入【p3c】过滤出规则，规则前都有【p3c】标识，选择【批量修改】，点击【激活p3c-test】
   

5. 设置规则

   进入【质量配置】，设置默认规则
   

6. 验证

   重新扫描-即可