SonarQube扫描原理 SonarQube扫描一定要先build么

品牌型号：联想 E550C ThinkPad

系统：Windows 11

软件版本：SonarQube Server 25

什么是静态代码分析？静态代码分析指无需运行代码便可通过分析、检查代码的语法、结构、依赖等来检查代码的正确性，SonarQube的代码检测功能正是建立在静态代码分析原理之上。既然是分析静态代码，那SonarQube扫描前需要先编译代码吗？这个问题看似简单，实际涉及SonarQube扫描底层原理。想要获取正确代码检测结果，建议读者一起跟随本文，了解SonarQube扫描原理，SonarQube扫描一定要先build么的问题答案。

一、SonarQube扫描原理

SonarQube在执行扫描时，会利用软件中配备的多个不同组件，形成流水式分析作业，一道道工序按顺序执行，最终才能将扫描结果呈现在网页端。这其中涉及的原理如下：

1、代码抽象转换。首先，SonarQube会通过代码文件对应编程语言的解析器，如Java的JavaParser，将原始一行行代码解析成AST抽象语法树，再通过符号表构建器提取代码中的变量、方法、类等实体的定义与引用关系，形成相应的调用网络。

2、规则执行。SonarQube内置了上千个代码规则，它将每个AST抽象语法树和符号表通过控制流图CFG的方式进行遍历，判断其中是否有匹配规则的项，如果有则单独抽离出来生成一个issues或Security安全漏洞。

3、汇总计算。在SonarScanner完成对代码的分析后，分析结果将发送到SonarQube服务器，由SonarQube内置的Compute Engine，即CE计算引擎进行最终处理，分析报告将排队并按顺序处理，处理结束后生成对应的报告结果发送到WebService中网页端显示。

我们可以在网页端Administration-Projects的“Background Tasks”中，查看到当前CE引擎执行任务进展。

二、SonarQube扫描一定要先build么

SonarQube扫描的第一步是解析代码，那么在解析代码前是否要先build编译后才能进行扫描呢？对于这个问题，需要分情况讨论：

1、需要编译的情况。对Java、Kotlin、C、Go、C#、C++等编译型语言，由于编译型语言的代码执行逻辑在编译阶段会发生不可逆的转换，如Java的泛型语法、Kotlin的函数重写等功能，而SonarQube的深度静态分析需要依赖这些信息，因此需要编译后才能进行扫描分析。

在SonarQube文档中提到，若Java编译缺失，会提示“Class XXXXXX is accessible through the ClassLoader”错误。

2、不需要编译的情况。对Python、PHP等解释型动态语言，它们直接由解释器逐行执行源码来运行，没有中间编译产物，因此也自然不需要编译了，但前提是Python等语言代码中未存在调用其他编程语言函数的代码。

回到最初关于SonarQube扫描原理，SonarQube扫描一定要先build么的问题，经过前面的详细分析，答案已经非常清晰：SonarQube扫描是否需要build，具体取决于被分析代码的语言类型及其特性，不同语言有不同的要求，只有了解这些要求，才能正确地通过SonarQube扫描三个核心流程，生成扫描报告。