在此 Docker 教程中，你將學(xué)習(xí)如何創(chuàng)建Helix QAC并將其作為容器化鏡像運(yùn)行。

Docker的基本定義是一種開(kāi)源和流行的操作系統(tǒng)級(jí)虛擬化（通常稱為“容器化”）技術(shù)，它是輕量級(jí)的，可移植的，并且主要在Linux和Windows上運(yùn)行。Docker使使用容器創(chuàng)建、部署和運(yùn)行應(yīng)用程序變得更加容易。

從根本上說(shuō)，容器只是一個(gè)正在運(yùn)行的進(jìn)程，并應(yīng)用了一些附加的封裝功能。借助容器，開(kāi)發(fā)人員（和DevOps管理員）可以將應(yīng)用程序與運(yùn)行應(yīng)用程序所需的一切（包括代碼、運(yùn)行時(shí)、庫(kù)、配置的環(huán)境變量和配置文件）打包在一起，并將其全部作為一個(gè)包提供。

還值得一提的是，Docker可以立即啟動(dòng)，并具有用于版本控制和組件可重用的內(nèi)置機(jī)制。這些Docker容器可以通過(guò)公共Docker中心或私有存儲(chǔ)庫(kù)共享，從而使其易于訪問(wèn)和使用。

以下是 Docker 的一些最顯著的優(yōu)勢(shì)：

• 快速部署：Docker 可以為每個(gè)進(jìn)程創(chuàng)建一個(gè)容器，然后可以根據(jù)需要快速啟動(dòng)和刪除該容器，而無(wú)需啟動(dòng)平臺(tái)操作系統(tǒng) （OS）。這將部署過(guò)程時(shí)間縮短到幾秒鐘 此外，Docker鏡像啟動(dòng)幾乎是實(shí)時(shí)響應(yīng)的。
• 可移植性：Docker 允許將經(jīng)過(guò)測(cè)試的容器化應(yīng)用程序部署到運(yùn)行Docker的任何其他系統(tǒng)，并確保其執(zhí)行方式與您測(cè)試時(shí)完全相同。Docker鏡像可以與其他團(tuán)隊(duì)共享。
• 性能：盡管虛擬機(jī) （VM） 是容器的替代方法，但VM具有操作系統(tǒng)，而Docker容器則沒(méi)有。這意味著容器的占用空間比VM小，創(chuàng)建速度更快，并且啟動(dòng)和刪除時(shí)間更快。
• 持續(xù)集成效率：Docker 使你能夠構(gòu)建容器鏡像，并在從開(kāi)發(fā)、測(cè)試到部署的每個(gè)步驟中使用它。此外，您還可以分離不相關(guān)的步驟并且并行地運(yùn)行它們，從而縮短從生成階段到生產(chǎn)部署階段所需的時(shí)間。這減少了設(shè)置環(huán)境和調(diào)試特定于環(huán)境的問(wèn)題的時(shí)間，使它們更可靠，更易于維護(hù)。

但是，Docker 存在一些限制，盡管它們對(duì)Docker靜態(tài)分析器的設(shè)置的影響很小甚至為零，但了解這些限制對(duì)您來(lái)說(shuō)仍然很重要。

• Docker 不能替代虛擬機(jī)：許多在 VM 中運(yùn)行的應(yīng)用都可以移動(dòng)到容器中，但這并不意味著它們都可以或應(yīng)該移動(dòng)到容器中。例如：具有嚴(yán)格法規(guī)要求的行業(yè)可能無(wú)法將容器交換為VM，因?yàn)閂M比容器提供更多的隔離。
• 容器中的數(shù)據(jù)：有時(shí)容器確實(shí)會(huì)出現(xiàn)故障，在這種情況下，它需要備份和恢復(fù)策略。雖然有幾種解決方案，但沒(méi)有一個(gè)是自動(dòng)化的或者尚不可擴(kuò)展的。另一個(gè)限制是，除非您在容器關(guān)閉之前先將其保存在某個(gè)位置，否則當(dāng)它關(guān)閉時(shí)，其中的所有數(shù)據(jù)都會(huì)永遠(yuǎn)消失。
• 跨平臺(tái)兼容性：如果應(yīng)用程序被設(shè)計(jì)為在特定平臺(tái)（如 Windows OS 平臺(tái)或Linux）上的Docker容器中運(yùn)行，這是一個(gè)主要問(wèn)題，因?yàn)樗鼰o(wú)法在任何其他平臺(tái)上運(yùn)行。但是，虛擬機(jī)不受此限制的約束，因此該限制使 Docker 對(duì)一些由Windows和Linux服務(wù)器組成的高度異構(gòu)環(huán)境的吸引力降低。
• 使用圖形界面運(yùn)行應(yīng)用程序：通常，Docker 設(shè)計(jì)用于托管在命令行上運(yùn)行的應(yīng)用程序。雖然我們有幾種方法（如使用X11轉(zhuǎn)發(fā)或MobaXterm）可以在 Docker 容器內(nèi)運(yùn)行圖形界面，但這些過(guò)程很笨拙。因此，我們可以說(shuō)Docker對(duì)于需要豐富接口的應(yīng)用程序來(lái)說(shuō)不是一個(gè)好的解決方案。

為了幫助將靜態(tài)分析工具設(shè)置為 Docker 并解決這些限制，我將把設(shè)置分解為三個(gè)簡(jiǎn)單的部分。

第一部分：準(zhǔn)備Docker引擎

1. 從此站點(diǎn)下載并安裝適用于您選擇的操作系統(tǒng) （OS） 平臺(tái)的Docker引擎：https://docs.docker.com/engine/install
2. 要驗(yàn)證 Docker 引擎是否已正確安裝，請(qǐng)運(yùn)行名為“hello-world”的示例Docker鏡像。使用以下命令示例：

• $ sudo docker run hello-world
• 該命令將下載一個(gè)簡(jiǎn)單的“hello-world”測(cè)試Docker鏡像，并在容器中運(yùn)行它。因此，當(dāng)容器運(yùn)行時(shí)，它會(huì)打印消息并退出。

我們的 Docker 容器教程的下一部分的目標(biāo)是將Docker容器設(shè)置為作為Helix 靜態(tài)代碼分析工具運(yùn)行。有幾種方法可以配置 Docker 鏡像以支持不同的編碼合規(guī)性模塊，例如MISRA、AUTOSAR、CWE、CERT和靜態(tài)代碼掃描工具等。

但是，在本教程中，我將僅演示如何使用一些重要組件構(gòu)建特定的 Docker 鏡像，我們將在Docker容器中將這些組件用作Helix QAC工具 （DaaQT）。

此外，我將討論在運(yùn)行分析掃描工具時(shí)如何處理項(xiàng)目數(shù)據(jù)配置的持久性，以便您可以將Helix QAC項(xiàng)目規(guī)范和項(xiàng)目支持配置文件存儲(chǔ)在docker容器之外，例如prqa項(xiàng)目文件夾和pqraproject.xml.支持的文件。

即使 Docker 容器執(zhí)行完成并關(guān)閉，對(duì)這些文件所做的任何更改都將保持不變。從docker執(zhí)行上的生成到生成的任何生成腳本更改都將輸出到主機(jī)上映射的外部項(xiàng)目文件夾，并保持持久性。

第 II 部分：創(chuàng)建、生成和運(yùn)行

首先，讓我們確定我選擇用于構(gòu)建 docker 鏡像的一些組件及其基本說(shuō)明。

• Helix QAC-2022.2 （C/C++靜態(tài)分析解析器）
• ASCM-3.3.0（AYTOSARC++14 編碼合規(guī)性）
• M3CM-3.3.0 （MISRAC 2012 編碼合規(guī)性）
• MCPP-2.3.0（MISRAC++ 2008 編碼合規(guī)性）
• CERTCCM-2.3.0（對(duì)C的安全編碼標(biāo)準(zhǔn)支持）
• CERTCCPCM-2.3.0（支持 CPP 的安全編碼標(biāo)準(zhǔn)）

接下來(lái)，下載您試用（或已購(gòu)買）的Helix QAC解析器工具和編碼合規(guī)性模塊，并將這些安裝文件放在主機(jī)上的已知文件夾位置。

• 在我的示例中，將有六個(gè)文件（一個(gè)解析器工具文件和五個(gè)編碼合規(guī)性模塊）。

接下來(lái)，創(chuàng)建一個(gè)docker構(gòu)建腳本文件。例如，我將文件命名為“qacDockerfile”，沒(méi)有文件擴(kuò)展名（默認(rèn)名稱為“dockerfile”）。docker引擎將使用此文件創(chuàng)建docker鏡像?；旧?，它有一個(gè)命令列表，可以發(fā)送給docker引擎，以自上而下的順序執(zhí)行它們。。

然后將這些文件（包括qacDockerfile）放在DaaQT文件夾中。這些是生成此docker鏡像所需的唯一文件。另外，請(qǐng)注意，我已經(jīng)將它們放在“vDockerBuilds/DaaQT”文件夾下。

以下是“qac文檔”腳本文件的內(nèi)容以及一些說(shuō)明。

• 第 1 行是使用Ubuntu 22.04作為基本鏡像開(kāi)始的。
• 第 4 行至第7行使Ubuntu操作系統(tǒng)保持最新?tīng)顟B(tài)，并允許時(shí)區(qū)設(shè)置。
• 第 10 行是可選的，但建議添加這些有用的工具，因?yàn)閁buntu基礎(chǔ)鏡像是準(zhǔn)系統(tǒng)鏡像。
• 第 15 行將安裝基本的構(gòu)建工具、gnu編譯器依賴項(xiàng)和任何支持文件。此步驟對(duì)于編譯器工具鏈?zhǔn)褂眯枨髸?huì)有所不同。但是，在我的示例案例中，此圖像將使用gcc/g++ 11編譯器。
• 第 19 行和第20行指示Docker引擎創(chuàng)建一個(gè)名為“QacWorkspace”的工作目錄，所有子順序命令都將使用該目錄。
• 第 25 行將所有安裝文件的權(quán)限更改為可執(zhí)行文件。
• 第 28 行以靜默模式安裝Helix-QAC解析器工具并接受許可協(xié)議。
• 第 31 行至第35行以靜默模式安裝選定的編碼合規(guī)性模塊，并接受許可協(xié)議。
• 第 38 行正在清理安裝文件，以使docker鏡像盡可能小的占用空間。

接下來(lái)，要構(gòu)建 docker 鏡像，我們需要運(yùn)行以下命令：

$> docker build --pull --no-cache -f qacDockerfile -t qacscatools：22v2.

• 拉取和無(wú)緩存參數(shù)是為了確保它始終獲取最新的 ubuntu 鏡像，并從頭開(kāi)始構(gòu)建docker鏡像。
• -f 是qac Docker文件名稱，默認(rèn)情況下，原始名稱是dockerfile。
• -t 是格式“名稱：標(biāo)簽”，因此名稱是“qacscatools”，標(biāo)簽是“22v2”，以指示使用了哪個(gè)Helix-QAC工具版本。
• 不要忘記末尾的“點(diǎn)”，這表明它是一個(gè)本地目錄。

構(gòu)建鏡像過(guò)程完成后，您可以看到最后兩行消息，這些消息指示寫入文件并標(biāo)記鏡像。若要驗(yàn)證生成是否成功，請(qǐng)運(yùn)行以下命令以顯示所有可用 Docker 鏡像的列表。

• $>docker images

（注意：在上圖中，圖像標(biāo)記 ID 為bd8c9d08dc4d。）

第三部分：在本地項(xiàng)目上運(yùn)行 DaaQT

在使用此 docker 容器化鏡像（Docker作為QAC工具– DaaQT）在本地桌面項(xiàng)目上運(yùn)行任何靜態(tài)代碼分析之前，我們需要確?？梢栽L問(wèn)許可證服務(wù)器以獲得使用該工具的權(quán)限。

在我的示例中，我將使用外部遠(yuǎn)程 Reprise 許可證管理服務(wù)器來(lái)請(qǐng)求要使用的許可證。

首先，我們需要?jiǎng)?chuàng)建一個(gè)本地項(xiàng)目運(yùn)行腳本，該腳本知道在何處以及如何訪問(wèn)遠(yuǎn)程 Reprise 許可證服務(wù)器。此項(xiàng)目運(yùn)行腳本還必須知道Helix QAC Dashboard服務(wù)器所在的位置，以便在分析運(yùn)行完成后上載項(xiàng)目診斷消息結(jié)果。

讓我們回顧一下名為“runQACSCA.sh”的腳本文件及其內(nèi)容。我將逐步提供一些關(guān)于它的作用的解釋。

• 第 3 行是對(duì)桌面計(jì)算機(jī)上項(xiàng)目文件夾名稱的引用。
• 第 7 行是Helix QAC Dashboard服務(wù)器上的項(xiàng)目持有者的名稱，用于上載診斷消息和項(xiàng)目信息。
  （注意：第 8 行可用于與本地文件夾名稱匹配。）
• 第 9 行到第11行是有關(guān)Helix QAC Dashboard服務(wù)器的信息，例如URL地址（或FQDN）、服務(wù)器端口和許可證服務(wù)器端口。
• 第 14 行是本地桌面項(xiàng)目工作區(qū)名稱“服務(wù)器URL地址”（或FQDN）、服務(wù)器端口和“許可證服務(wù)器端口”。
• 第 15 行和第16行引用了Helix QAC解析器工具所在的內(nèi)部docker鏡像，以及映射項(xiàng)目工作區(qū)位置。
• 第 19 行用于使Docker與許可證服務(wù)器通信，以請(qǐng)求工具許可證以供使用。
• 第 25 行將Docker鏡像設(shè)置為映射的項(xiàng)目工作區(qū)所在的正確入口點(diǎn)。
• 第 28 行到第29行是選擇要用于項(xiàng)目的規(guī)則配置文件之一。這些默認(rèn)文件名是為特定規(guī)則組配置標(biāo)識(shí)的。您可以通過(guò)合并任何一個(gè)或多個(gè)規(guī)則配置文件來(lái)創(chuàng)建自己的客戶RCF文件，但是，自定義RCF文件需要在Helix QAC桌面GUI應(yīng)用程序中完成，然后才能使用。此外，新的自定義名稱需要與默認(rèn)文件名不同。
• 第 34 行和第35行用于映射到要使用的編譯器工具鏈。對(duì)于我的例子，我已經(jīng)映射到使用任何一個(gè)GNU C/CPP 11.2版本。
• 第 38 行是創(chuàng)建PRQA項(xiàng)目配置并設(shè)置要求項(xiàng)目配置。
• 第41行允許Helix QAC監(jiān)控和跟蹤如何使用其命令在本地構(gòu)建項(xiàng)目的方式。
• 如果項(xiàng)目需要執(zhí)行一些關(guān)系跨模塊分析 （RCMA） 和/或多線程分析 （MTA），則通常使用第44行和第45行。
• 第 47 行至第49行是選擇一個(gè)編碼合規(guī)性模塊，用于滿足您的編碼合規(guī)性需求。請(qǐng)確保此設(shè)置與第28行到第31行的RCF設(shè)置匹配。
• 第 52 行是使用上述所有配置和設(shè)置參數(shù)對(duì)項(xiàng)目執(zhí)行靜態(tài)代碼分析。
• 第55行是將項(xiàng)目分析掃描結(jié)果上傳到Helix QACDashboard服務(wù)器，并將其放在項(xiàng)目支架中。上載的信息是包含診斷消息和項(xiàng)目配置設(shè)置的源代碼文件。

運(yùn)行以下 docker 命令，這些命令會(huì)將本地項(xiàng)目卷映射到docker項(xiàng)目卷，以便保留分析數(shù)據(jù)文件。請(qǐng)密切注意ENTRYPOINT參數(shù)，其中腳本文件“runQACSCA.sh”將從項(xiàng)目根文件夾執(zhí)行。

以下是帶有一些解釋的Docker命令：

• docker run --rm -it -v ~/ProjectsSandbox/MyCppCodeQac:/QacWorkspace/MyCppCodeQac--entrypoint=/QacWorkspace/MyCppCodeQac/runQACSCA.sh qacscatools:22v2“run”，就是執(zhí)行。
• “-it”以交互方式運(yùn)行Docker（所以你會(huì)得到一個(gè)帶有STDIN的偽TTY）。
• “--rm”使Docker在容器退出時(shí)自動(dòng)將其刪除。
• “-v”表示卷映射本地主機(jī)卷：DockerVolume。
• “--entrypoint”表示登錄時(shí)從哪里開(kāi)始，命令行開(kāi)始運(yùn)行帶有說(shuō)明內(nèi)容的位置/file_name.sh。

您還可以使用 shell 腳本來(lái)運(yùn)行它，而不必記住在命令行上鍵入所有這些參數(shù)。除了不必記住所有這些細(xì)節(jié)之外，這還允許我們對(duì)腳本文件進(jìn)行最小的更改，以適應(yīng)其他類似的項(xiàng)目。

對(duì)于我的示例，我創(chuàng)建了一個(gè)名為“runDaaQT.sh”的shell腳本。

顯示 docker 命令行用法的屏幕截圖。

顯示 shell 腳本用法的屏幕截圖。

（可選）還可以為 CMakeNinja 項(xiàng)目運(yùn)行此Docker容器，它的命令行與之前演示的項(xiàng)目類似。此項(xiàng)目使用 CMake 和Ninja命令行構(gòu)建系統(tǒng)。

要使用類似的命令行或 shell 腳本文件，您需要在命令行中對(duì)正確項(xiàng)目卷 （CMakeNinja） 名稱的命令語(yǔ)法進(jìn)行一些編輯，如下所示：

$> docker run --rm -it -v ~/QacProjectsSandbox/CMakeNinja:/QacWorkspace/CMakeNinja--entrypoint=/QacWorkspace/CMakeNinja/runQACSCA.sh qacscatools:22v2

CMakeNinja項(xiàng)目的命令行用法截圖。