Git SonarQube和BitBucket在拉取请求时集成

我是BitBucket的新手，继承了一个项目，现在正努力提高速度并完成代码。我们有一个DevSecOps管道，使用BitBucket作为SCM，SonarQube作为静态分析引擎，Maven或Jenkins，具体取决于开发团队的偏好。Java是开发语言

如果在pull请求中的代码分析中发现关键或高问题，我的技术负责人希望阻止pull请求的合并。因此，我正在寻找一种方法来触发对拉请求的SonarQube扫描，如果它失败（发现关键问题），则不允许进行合并或发送一些通知。还有一种希望是，分支上预先存在的问题不会触发通知（遗留问题不会破坏合并请求）

---

我看到BitBucket的插件都是“拉请求装饰器”，但它们缺乏文档（开源插件也是如此）。

绝对适合您的工具是

它与jenkins和sonarqube很好地集成到构建管道中。此外，为了触发您的分析，我建议使用插件，它允许您仅对特殊的“pullrequest”事件作出反应->这可以在涉及到功能分支的sonar分析时大大减少构建量

关于比特桶的声纳 作为一个完整的信息！ Sonarqube目前不建议对特征分支进行分支分析。因为这将为每个项目和每个分析分支生成一个单独的sonarqube项目。Bitbucket的声纳会把这些清理干净

---

在未来会有一个变化，这似乎已经出现在城市之旅。当这项更改生效时，您将能够以更“分支”的方式进行分析

您可以在Jenkins中对功能分支进行静态代码分析，并使用向Bitbucket服务器报告

---

还发现了一系列其他违规行为。

您使用bitbucket云还是服务器？我们在premi上托管自己的bitbucket服务器，并为您添加了一些其他信息！我完全可以推荐这个插件，因为它提供了很多功能，并且可以很容易地阻止“恶意”推送：D，如果你还有其他问题，请告诉我：DHi Simon-我感谢你的回复。由于我是这个技术堆栈的新手，也许您可以提供帮助：我们正在尝试确定，当对拉取请求的代码运行分析时，是否可以防止出现“遗留”问题。然后，在分析拉取请求问题（拉取请求的新问题-在创建分支时不预先存在）时，我们会阻止合并发生，因此问题是：我们能否在SQ报告中排除“遗留”问题，以及拉取中的cod是否存在新问题（临界/高），不允许合并。bitbucket的sonar仅对您更改的问题作出反应。。。即使在同一个类中，如果它们不在更改的行中，它也会忽略这个问题新的分支功能是在SonarQube 6.7的商业版中引入的，它不再为分支生成单独的项目。