SonarQube架构及使用介绍

最新推荐文章于 2025-06-08 11:25:11 发布
原创 最新推荐文章于 2025-06-08 11:25:11 发布 · 置顶 · 1.1w 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Sonar #SonarQube #代码分析 #代码检查

SonarQube架构包括Project、Scanner、Server和Database四部分,用于代码分析和质量管理。Project是分析的源码,Scanner执行分析并将结果上传至Server。Server作为Web展示分析结果,支持Gradle、Maven等构建工具的配置。SonarQube的Gradle插件通过gradle sonarqube任务执行分析,而Sonar Runner则通过sonar-project.properties文件配置。Jenkins集成中,可以通过API获取SonarQube的质量门限详情。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SonarQube构架

SonarQube框架包含以下四个部分:

  • Project
  • SonarQube Scanner
  • SonarQube Server
  • SonarQube Database

SonarQube架构

Project

是需要被分析的源码,如我们的app工程源码,SonarQube支持多种语言和多种工程结构,Andriod是属于一种多模块的java工程。

SonarQube Scanner

是用于执行代码分析的工具,在Project的根目录下执行,我们还需要在Project下进行SonarQube配置,其中指定了工程的相关信息,还指定了SonarQube Server的地址,SonarQube Scanner分析完毕之后,会将结果上报到该Server。

注:官方对Scanner的描述是“The SonarQube Scanner is recommended as the default launcher to analyze a project with SonarQube”,个人理解是可以用任何其它的工具替代,只要能对Source进行分析,并生成Server能构解析的数据格式上报给Server。

SonarQube Server

显示分析结果的Web Server,在SonarQube Scanner第一次将一个工程的分析结果上报给SonarQube Server后,Server上会自动创建一个工程显示分析的结果,可以在Server上设置代码质量管理相关的各种配置,如设置代码检查规则(Rule)和质量门限(Quality Gate)等。

SonarQube配置

SonarQube支持多种工程构建方式的配置,也对应需要用不同的Scanner来执行分析过程:

  • Ant
  • Maven
  • MSBuild(Microsoft Build Engine)
  • Gradle
  • Sonar Runner

下面只讲一下我们目前用得到的两种,即Gradle和Sonar Runner

Gradle

  • scanner:采用gradle plugin,gradle自带了sonarqube的plugin
  • config方式:gradle task
  • 运行方式:gradle sonarqube
apply plugin: "org.sonarqube"
sonarqube {
    sonarProperties {
	    property "sonar.host.url", "http://sonarqube.example.com"
        property "sonar.projectName", "AndroidDemo"
        property "sonar.projectKey", "AndroidDemo"
        property "sonar.version", "2.3.2"
        property "sonar.sources", "src/main/java" // module会继承该路径,也可以重载掉该值
    }
}

更多属性详见
http://docs.sonarqube.org/display/SONAR/Analysis+Parameters

注:如果我们每次分析代码里,都在工程里手动执行,那么用gradle方式就可以了,但是如果要与jenkins集成,则需要用到Sonar Runner方式。

Sonar Runner

  • scanner:sonar-runner
  • config方式:sonar-project.properties (.properties文件是java工程的一种配置文件,格式为"key=value")
  • 运行方式:在工程根目录下执行sonar-runner

sonar-project.properties范例

sonar.host.url=http://sonarqube.example.com
sonar.projectKey=AndroidDemo
sonar.projectName=AndroidDemo
sonar.projectVersion=2.3.2
sonar.sources=src/main/java

sonar.sourceEncoding=UTF-8
sonar.language=java

sonar.modules=app
presentation.sonar.projectBaseDir=app

Jenkins集成

获取SonarQube结果

api/resource/index?resource={id or key of the resource}&metric=quality_gate_details&format=json

skyuning
关注
手把手教你SonarQube入门安装与使用
My Blog My Style
04-30 1103
简介 Sonar (SonarQube)是一个开源平台,用于管理源代码的质量。 Sonar 不只是一个质量数据报告工具,更是代码质量管理平台。 支持Java, C#, C/C++, PL/SQL, Cobol, JavaScrip, Groovy 等等二十几种编程语言的代码质量管理与检测。 Sonar可以从以下七个维度检测代码质量,而作为开发人员至少需要处理前5种代码质量问题。 不遵循代码标准 sonar可以通过PMD,CheckStyle,Findbugs等等代码规则检测工具规范代码编写。 潜在的缺陷
Sonarqube】可视化Java项目单元测试覆盖率统计框架搭建
longxiaotian718的博客
12-29 2156
一个小公司的朋友反应他们那边Java项目单元测试有,但还没有可视化统计覆盖率数据,没法统计就不能直观的看到单测的覆盖率,Java的覆盖率统计框架还是比较成熟,部署起来也不是很难,下面我们逐一讲解怎么部署, 提高单元测试覆盖率和规范代码编写规范。工程中引入jacoco进行代码覆盖率统计,通过sonarqube scanner扫描工程编写规范,编写单元测试代码后,结合Jenkins每次的编译部署自动执行代码规范扫描和单元测试代码,并将结果推送到sonarqube平台进行图形展示。总代码行数为69961;
243. 使用 SonarQube 代码扫描
最新发布
weixin_43484713的博客
06-08 1422
SonarQube 是一个开源的代码质量管理平台,用于持续检测代码质量,帮助开发团队发现并修复代码中的问题。它支持多种编程语言(如 Java、C#、JavaScript、Python 等),并提供静态代码分析代码覆盖率、重复代码检测、复杂度分析等功能。SonarQube 通过静态代码分析(Static Code Analysis)检查代码中的潜在问题,例如:通过与单元测试工具(如 JaCoCo、Cobertura)集成,SonarQube 可以统计代码的测试覆盖率,帮助团队评估测试的完整性。识别代码库中的
sonarqube 初探
huaqiangli的博客
12-05 969
Table of Contents 快速搭建一个sonarqube服务 创建docker-compose.yml文件 启动容器服务 访问sonarqube web 访问数据库 项目中集成sonarqube maven 项目集成sonarqube ant 项目集成 soanrqube gradle项目集成sonarqube 项目直接使用sonar-scan Jenkins...
sonarqube整体框架
qq_18816009的博客
05-16 959
sonar代码架构
sonarqube简介+架构+搭建+不同语言详细用法
热门推荐
biwenjun999的博客
06-13 1万+
SonarQube 一,简介 Sonar 是一个很优秀的代码分析工具,可以帮助程序员们发现很多潜在的问题和BUG。 Sonar可以从以下七个维度检测代码质量。 1. 不遵循代码标准 sonar可以通过PMD,CheckStyle,Findbugs等等代码规则检测工具规范代码编写。 2. 潜在的缺陷 sonar可以通过PMD,CheckStyle,Findbugs等等代码规则检测工具检测出潜在的缺陷。 3. 糟糕的复杂度分布 文件、类、方法等,如果复杂度过高将难以改变,这会...
SonarQube
没有简介
12-08 598
Sonar是一个用于代码质量管理的开源平台,用于管理Java源代码的质量。通过插件机制,Sonar 可以集成不同的测试工具,代码分析工具,以及持续集成工具,比如pmd-cpd、checkstyle、findbugs、Jenkins。通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便地对不同规模和种类的工程进行代码质量管理。同时 Sonar 还对大量的持续集成工具提供了接口支持,可以很方便地在持续集成中使用 Sonar。 此外,Sonar 的插件还可以对 Java 以外的其
软件测试 | Sonarqube架构
慕漓的博客
03-07 234
3、支持25+编程语言的代码扫描和分析,包含java\python\C#\javascript\go\C++等。​ 代码扫描和分析完成之后,会将扫描结果存储到数据库当中,在sonarQube平台可以看到扫描数据。2、多维度分析代码代码量、安全隐患、编写规范隐患、重复度、复杂度、代码增量、测试覆盖率等。通过定义好的 代码质量和安全规则,对开发人员编写的代码进行扫描和分析。将分析的结果多维护的呈现出来,以方便开发人员进行代码的优化和规范编写。4、涵盖了编程语言的静态扫描规则: 代码编写规范+安全规范。
SonarQube配置与使用教程V11
08-03
7. **糟糕的设计(Spaghetti Design)**:SonarQube 可以识别循环依赖、包间和类间的耦合,以及违反设计原则的情况,帮助改进架构和设计。 **SonarQube 的安装**: 首先,你需要一个 Java 运行环境。然后,下载并...
SonarQube中文使用手册Release.pdf
05-10
附录部分详细介绍SonarQubeScanner的使用,包括服务的配置参数、强制参数和可选参数,以及如何绑定和分析项目。 #### 指标: SonarQube提供了多种质量指标,例如代码复杂度、软件文档、重复代码、问题严重性、可...
sonarqube-6.7.7
09-18
1. **SonarQube架构**: SonarQube由三个主要组件构成:SonarQube服务器、Scanner(分析器)和数据库。服务器负责存储和展示质量数据,Scanner用于在项目源码上运行分析,而数据库则保存所有的质量指标和历史记录。...
SonarQube基本介绍
Nightmare_Zero的博客
10-25 4529
序 1. 代码品质检测 众所周知电器制造商等制造业对于自家产品都有品质管理的一套方法和理论,作为工业制造开发的一种,软件开发同样也需要品质管理.本篇文章是针对测试环节中,对于代码的质量分析的开源软件SonarQube介绍的第一篇。 2. 动态代码分析和静态代码分析的区别 对于代码的测试有两种模式,动态代码分析以及静态代码分析,并使用不同方式进行测试。 动态代码测试:动态代码主要将代码进行运行测试,主要进行黑盒测试的时候进行使用。测试软件通过跑动软件,检测软件中的功能问题,是否存在运行BUG,或者是否能
SonarQube的作用
莫问前程
01-11 1147
SonarQube中,通过定义统一的”质量配置“和”质量阀“可以对所有的项目,应用统一的代码质量规约,方便代码质量标准的配置和管理。 提供了对Java这一主流后端服务开发语言的强大预置检查标准支持,其中集成了FindBugs和CheckStyle两个主流的检查工具。 灵活可配置的”代码规则“功能,提供了对个性化质量规则定制的支持;其中提供的各种规则模板,可以方便使用者快速定义自己团队的代码标准。 SonarQube服务支持扫描多项目,在安装社区版的分支检..
代码质量管理平台 SonarQube 社区版搭建及 C 代码分析
王清欢的博客
01-31 8063
本文介绍如何在 CentOS 环境下搭建代码质量管理平台 SonarQube 社区版,并使用 PostgreSQL 数据库作为其后端数据库;同时,详细说明了如何配置 SonarQube使用 sonar-cxx 开源插件进行 C 语言系列项目的静态代码分析
SonarQube基础介绍与在代码检测中的应用
qq_21007209的博客
03-16 1672
官网描述: SonarQube 提高您的团队成员的代码质量和安全性,使所有开发人员能够编写更干净、更安全的代码。官网地址:帮助文档:Q: SonarQube 是什么?答: SonarQube 是一个开源的代码质量管理平台系统,用于检测各类开发语言(例如: java、php、python、html、C、C#、Groovy)代码中的错误,漏洞和代码规范;并且现在它可以与现有的Gitlab、Jenkins进行集成,以便在项目拉取后进行连续的代码质量检查;Q: SonarQube 有何用处?
代码质量】SonarQube原理与实践
后端研发工程师Marion的博客
12-22 466
Clean Code | Developer First | Sonar代码审计工具之:SonarQube - 知乎943-02.SonarQube安装-001219_哔哩哔哩_bilibiliSonarQube - 代码静态扫描利器 - 简书【Jenkins持续集成(一)】SonarQube 入门安装使用教程 - 掘金sonarQube 覆盖率配置_@进行中的博客-优快云博客_sonarqube单元测试覆盖率
SonarQube是如何工作的
liu0808的专栏
08-11 1832
SonarQube代码检查工具的技术标杆之一,除了用来检查项目,它本身也是开源的,源码(代码结构/技术文档等)也必然是值得一读。 通过阅读源码,我们可以学到 一款顶尖复杂的软件项目的结构与模块如何划分 一个复杂前端的React实现 如何混合使用ES与数据库 在阅读本文前,众所周知源码分析非常耗费时间,重复一下源码分析方法论 能够充分使用过此项目,并阅读文档,这一步主要掌握上下文与术语 分析项目的依赖,并全部过一遍 找到免编译的路由断点与关键日志位置 充分使用FindUsage快速Jump
SonarQube的核心作用与用途
cheng_zhang_zhong的博客
05-21 178
SonQube是一款开源代码质量管理平台,通过静态代码分析检测缺陷、安全漏洞和代码异味,提供代码覆盖率、重复代码等质量指标,量化技术债务并支持多语言项目。它能与CI/CD工具集成,设置质量门禁确保代码标准,帮助团队持续提升代码质量与安全性。
Sonarqube
qq_40421712的博客
09-08 428
Sonarqube作用 sonarqube主要用于代码静态分析,用于检查代码存在格式,bug,安全漏洞,同时也提供了代码复杂度,代码行数等质量度量数据 sonarqube主要用于以下场景 开发代码中实时检查 开发代码完毕,提交代码到配置库之后,定期或者不定期扫描 sonarqube特性 易于安装,开箱即可使用 易于安装配置-所有配置可以通过其提供的web界面实现 丰富的扫描格式,可...
sonarqube 介绍
02-27
<think>好的,用户让我介绍一下SonarQube。首先,我需要回忆一下SonarQube的基本信息,确保自己理解正确。SonarQube是一个开源的代码质量管理平台,主要用于持续检查代码质量,对吧?接下来,我得考虑用户可能的背景。他们可能是开发者、项目管理员,或者刚接触这个工具的人,需要了解其功能和用途。 用户可能想知道SonarQube的核心功能,比如代码静态分析、支持的语言、集成方式等。还要提到它的优势,比如帮助团队发现潜在问题,提升代码可维护性。另外,用户可能关心如何使用它,是否需要与其他工具集成,比如Jenkins或者GitHub Actions,这些都需要涵盖到。 可能用户没有直接问,但深层需求可能是想找一个工具来解决代码质量问题,或者比较不同工具之间的差异。因此,我应该提到SonarQube与其他工具的不同之处,比如它的全面性、社区支持、扩展性等。 需要确保信息准确,比如支持的编程语言数量,目前是30多种,但具体数字可能需要查证。另外,版本方面,开源版和企业版的区别也要说明清楚,避免误导用户。部署方式部分,Docker和Java环境是常见的,应该提到。 还要注意结构清晰,分点介绍,让用户容易理解。最后,总结适用场景,帮助用户判断是否适合他们的需求。整个过程要保持口语化,避免使用过于技术化的术语,但关键术语还是需要正确使用,比如静态分析、持续集成等。</think>SonarQube 是一个开源的代码质量管理平台,专注于 **持续检测代码质量**。它通过静态代码分析技术,帮助开发团队发现代码中的潜在问题,提升代码可维护性、安全性和可靠性。 --- ### **核心功能** 1. **多语言支持** 覆盖 30+ 种编程语言(如 Java、C#、Python、JavaScript、Go 等),支持主流的开发技术栈。 2. **代码缺陷检测** 自动识别代码中的 **BUG**(如空指针异常)、**漏洞**(如 SQL 注入)和 **代码异味**(如重复代码、过长函数)。 3. **质量指标可视化** 提供仪表盘展示代码的 **复杂度**、**重复率**、**测试覆盖率**、**安全评级** 等关键指标。 4. **规则自定义** 支持根据团队规范定制代码检查规则,灵活适配不同项目的代码标准。 5. **CI/CD 集成** 可与 Jenkins、GitLab CI、GitHub Actions 等工具无缝集成,实现自动化代码审查流程。 --- ### **技术架构** - **部署方式**:支持 Docker 容器化部署或传统 Java 环境部署 - **组成模块**: - **SonarQube Server**(主服务) - **SonarScanner**(代码扫描客户端) - **数据库**(存储分析结果,支持 PostgreSQL、MySQL 等) - **插件系统**(扩展语言支持或新增功能) --- ### **典型使用场景** 1. **开发阶段**:IDE 插件实时反馈代码问题(如 VS Code 的 SonarLint) 2. **代码提交时**:通过 Git 钩子阻止低质量代码入库 3. **持续集成**:在流水线中自动触发代码扫描,生成质量报告 --- ### **版本区别** | 版本 | 特点 | |-----------|-----------------------------| | 社区版 (CE) | 免费,支持基础代码分析功能 | | 企业版 (EE) | 付费,含安全高级检测、多分支分析、LDAP 集成等 | --- ### **优势与局限** ✅ **优势**: - 统一管理多语言项目的代码质量 - 提供清晰的改进优先级建议 - 丰富的企业级扩展能力 ⚠️ **局限**: - 对某些语言(如 Python)的深度分析能力较弱 - 大规模项目扫描可能耗时较长 --- ### **同类工具对比** | 工具 | 特点 | |-------------|-------------------------| | Checkstyle | 专注 Java 代码规范检查 | | ESLint | JavaScript/TS 静态分析 | | Fortify | 侧重安全漏洞扫描(商业软件) | | SonarQube | **综合性强**,适合全栈项目质量管理 | --- 如果需要进一步了解具体操作(如安装配置、规则定制等),可以告诉我您的技术栈和应用场景,我会提供针对性说明 😊
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值