Sonar扫描之SonarScanner介绍
SonarScanner用于在构建系统没有指定scanner时使用。
项目配置
在你的项目根目录中创建一个名为 sonar-project.properties的配置文件
# 在给定的SonarQube实例中必须保持唯一 sonar.projectKey=my:project # --- 可选属性 --- # 默认值为projectKey #sonar.projectName=My project # 默认值为'not provided' #sonar.projectVersion=1.0 # 默认为 . 路径相对于sonar-project.properties而言 #sonar.sources=. # 源代码文件编码. 默认为系统默认编码 #sonar.sourceEncoding=UTF-8
从 zip 文件运行 SonarScanner
要从 zip 文件运行 SonarScanner,遵循下列步骤操作:
- 将下载的文件解压到你选择的目录,暂且假设该目录路径为:
$install_directory - 通过编辑
$install_directory/conf/sonar-scanner.properties,更新全局配置以指向 SonarQube 服务器:
#----- 设置默认的SonarQube服务器 #sonar.host.url=http://localhost:9000
- 将
$install_directory/bin目录添加到PATH环境变量中。 - 通过打开一个新的 shell 并执行命令
sonar-scanner -h( Windows 上sonar-scanner.bat -h)来验证安装是否正确,看到类似如下输出则表示成功:
usage: sonar-scanner [options] Options: -D,--define <arg> Define property -h,--help Display help information -v,--version Display version information -X,--debug Produce execution debug output
- 如果您需要查看更多的调试信息,您可以添加
-X,--verbose或-Dsonar.verbose=true命令选项 - 在项目根目录下运行以下命令以启动分析并传递身份验证令牌:
sonar-scanner -Dsonar.login=myAuthenticationToken
从 Docker 镜像运行 SonarScanner
使用以下命令,使用 SonarScanner Docker 镜像进行扫描:
docker run \ --rm \ -e SONAR_HOST_URL="http://${SONARQUBE_URL}" \ -e SONAR_LOGIN="myAuthenticationToken" \ -v "${YOUR_REPO}:/usr/src" \ sonarsource/sonar-scanner-cli
扫描 C、C++ 或 ObjectiveC 项目
扫描包含 C、C++ 或 ObjectiveC 代码的项目需要一些额外的分析步骤。查看完整信息C/C++/Objective-C
示例项目
GitHub 上提供了适用于大多数语言的简单项目示例。点击浏览或下载示例项目。
sonar-project.properties 的替代品
如果在项目的根目录下无法创建 sonar-project.properties 文件,有以下几种选择:
- 可以通过命令行直接指定属性。例子:
sonar-scanner -Dsonar.projectKey=myproject -Dsonar.sources=src1
- 属性 project.settings 可用于指定项目配置文件的路径(此选项与
sonar.projectBaseDir属性不兼容)。例子:
sonar-scanner -Dproject.settings=../myproject.properties
- 从 SonarScanner 2.4 开始,可以通过
sonar.projectBaseDir属性设置要分析项目的根文件夹。如果未在命令行中指定sonar.projectKey,则该文件夹必须包含sonar-project.properties文件。可以在此项目配置文件中或通过命令行参数定义其他参数。
注意:命令行参数优先于sonar-project.properties配置,也就是说,当命令行和sonar-project.properties存在相同参数配置的情况下,以命令行的参数配置为准
可选分析目录
如果要分析的文件不在运行sonar-scanner程序时所在目录,那么需要使用sonar.projectBaseDir属性将分析移动到待分析文件所在目录,否则会导致分析失败,因为程序默认在当前目录下执行扫描。例如,在jenkins/jobs/myjob/workspace目录下运行sonar-scanner,但要分析的文件存在/home/ftpdrop/cobol/project1目录,sonar-project.properties配置如下:
sonar.projectBaseDir=/home/ftpdrop/cobol/project1 sonar.sources=src
高级Docker配置
以下部分提供了使用Docker运行sonar-scanner时的高级配置选项
使用--user选项,以非root用户运行Docker镜像,例如:
docker run \ --rm \ --user="$(id -u):$(id -g)" \ -e SONAR_HOST_URL="http://${SONARQUBE_URL}" \ -v "${YOUR_REPO}:/usr/src" \ sonarsource/sonar-scanner-cli
注意:以非root用户运行容器时,确保该用户对挂载的目录(比如代码目录或者scanner缓存目录)有读写权限,否则可能会遇到权限相关问题。
为了防止SonarScanner在每次运行扫描时重新下载语言分析器,可以挂载一个供scanner存储下载内容的目录,以便在scanner运行期间可以重用下载的内容。在某些CI系统上,还需要将此目录添加到CI缓存配置中。以下命令将在运行之间存储和使用缓存:
docker run \ --rm \ -v ${YOUR_CACHE_DIR}:/opt/sonar-scanner/.sonar/cache \ -v ${YOUR_REPO}:/usr/src \ -e SONAR_HOST_URL="http://${SONARQUBE_URL}" \ sonarsource/sonar-scanner-cli
还可以使用SONAR_USER_HOME环境变量更scanner存储下载内容的位置。
故障排除
Java heap space error or java.lang.OutOfMemoryError
通过SONAR_SCANNER_OPTS环境变量增加内存
Linux:
export SONAR_SCANNER_OPTS="-Xmx512m"
Windows:
set SONAR_SCANNER_OPTS=-Xmx512m
Unsupported major.minor version
升级用于分析的Java版本,或使用一个本机包(嵌入自己的Java运行时)
Property missing: `sonar.cs.analyzer.projectOutPaths'. No protobuf files will be loaded for this project.
Scanner CLI无法分析.NET项目。请用SonarScanner for .NET。
参考连接
https://docs.sonarqube.org/latest/analysis/scan/sonarscanner/
