SonarQube如何全量扫描配置 SonarQube扫描规则

品牌型号：联想 E550C ThinkPad

系统：Windows 11

软件版本：SonarQube Server 25

全量扫描是指对项目文件夹中的全部代码文件，无论是测试脚本还是正式脚本，均通过SonarQube扫描程序，按照扫描规则进行扫描分析。与增量扫描只扫描新增代码部分不同，全量扫描更能提供本项目完整全面的检测报告，帮助项目负责人员掌握项目情况。既然话说到这，下面就一起来看看SonarQube如何全量扫描配置，SonarQube扫描规则如何配置，让我们共同掌握这两部分内容的具体用法。

一、SonarQube如何全量扫描配置

当我们在首次加载项目、关键版本发布前、扫描规则更新后等重要场景中，都不免需要对项目进行一次全量扫描，确保整个项目的检测报告是最新且正确的。在SonarQube中，可以按照以下方式配置全量扫描：

1、在项目根目录下添加一份扫描配置文件，在文件中设置“sonar.sources”的值为“.”，代表项目中支持SonarQube扫描编程语言的对应文件均参与扫描过程，如py文件、class文件等。

2、为了避免缓存造成影响，在进行全量扫描时还建议在扫描命令中添加“sonar.analysisCache.enabled=false”的参数，该参数可以禁用分析缓存机制，禁用它后，分析器将从头开始分析所有文件。

3、对于一些应当支持但未支持的文件类型，可以在Languages设置中，选择对应的编程语言，在File suffixes右侧增加对应的文件后缀，确保文件可以被扫描到。

4、对一些当前不支持的编程语言，如Groovy语言，可以尝试在管理页面的Marketplace中，查询是否有对应的语言分析插件，如有则点击Install按钮自动下载安装，插件对应的标签为“LANGUAGES”。

二、SonarQube扫描规则

SonarQube进行静态代码分析扫描的基础，建立在SonarQube官方为软件整理并提供的上千条扫描规则之上。规则涵盖安全、漏洞、可维护性等多个维度，当代码与规则相匹配，便会生成对应的一条指标呈现于最终报告之中。下面讲讲关于扫描规则的一些重要知识：

1、规则明细。SonarQube提供的规则可以在Rules页面中查看，下图5是一条HTML的规则，规则中在Noncompliant code example中指出了错误的代码示例片段，在Compliant solution中提供了解决方案，通过规则，我们既能检测出代码错误，也能快速了解错误修正方式。

2、规则绑定。SonarQube的规则并不与编程语言绑定，而是与Quality Profiles质量设置所绑定，Quality Profiles再去绑定编程语言。一个Quality Profiles中可以包含很多条规则，也可以绑定具体的Projects项目，我们可以通过激活或取消激活规则、变更Quality Profiles项目，来灵活控制项目需要匹配的规则。

3、规则的删除。当规则生成issues后，便会进行绑定，此时删除规则并不会进行真正删除，只有先移除规则对应的全部issues后再删除，才能真正删除该规则。

全量代码扫描检测使得过往基于个人经验主义的开发流程逐渐变为更加科学可靠的工程实践，扫描规则的设定也使问题判定标准完成了从模糊到精确的升级。了解SonarQube如何全量扫描配置，SonarQube扫描规则，能让那些存在于代码中的问题在开发早期就被发现修复，大幅降低了后期迭代的压力和维护成本。