发布时间:2025-05-16 15: 15: 22
品牌型号:联想 E550C ThinkPad
系统:Windows 11
软件版本:SonarQube Server 25
代码质量检查和管理是代码开发中的重要一环,SonarQube作为一款代码质量检测工具,通过内部设定的数千条问题匹配规则定义了代码检查的标准,并以此识别出代码中存在的问题。但我们仅仅在SonarQube平台上查看问题是不够的,我们往往需要将这些问题导出,以便进行更深入的分析或与团队成员共享,同样地,规则有时也需要导出查看,以便于及时调整检查策略。因此,本文中将详细分享SonarQube如何导出问题,SonarQube导出规则文件怎么做的操作步骤。
一、SonarQube如何导出问题
对于一个达到一定规模的项目而言,SonarQube扫描出的代码问题往往以千计算,这些问题需要分发给不同的开发人员进行讨论修复,也需要发送给安全团队审计。而面对大量的代码问题,该如何将其导出发送呢?
1、在生成检测报告后,首先使用用户名和密码登录SonarQube网页端,在Projects界面打开对应的项目,在项目的“Issues”栏中即可查看本次检测出的详细问题,左侧是筛选框,可以按照语言、标签、文件、所属人员、等级等指标筛选问题。

2、在SonarQube新版中,当前并未提供问题导出功能,也未提供相关的导出插件,因此无法进行导出。但无论是分配问题给开发人员讨论修复还是进行更深入的分析,都可以在SonarQube网页端实现。
点击某个问题的“Not assigned”下拉框,会展示出项目的团队成员列表,单击成员可以将该问题分配给该成员进行后续跟进。

3、单击问题会跳转到问题详情页,在“Where is the issue”页面会通过箭头和错误提示明确指出问题所在,在“Why is this an issue”页面会说明为什么这段代码会被标记为问题,在“How can I fix it”页面会提供参考的修复代码供我们查看,结合这三大功能我们便可完成问题的深入分析。

二、SonarQube导出规则文件
SonarQube的代码检测能力本质上是由其规则体系决定的,规则决定了哪些代码特征会被识别为问题,可以说,规则的质量直接决定了检测结果的有效性。全面、精准且与时俱进的规则配置,能够确保代码分析既不会遗漏关键缺陷,也不会产生过多误报。对于规则的导出,我们可以使用以下方式:
1、SonarQube网页端规则界面,与问题界面相同,并不提供规则的导出功能,但我们可以使用SonarQube Web API进行导出,如图所示在浏览器打开“http://localhost:9000/api/rules/search?languages=”网址可以查看全部规则,规则以JSON格式显示。

2、我们可以复制整段JSON粘贴到记事本中,也可以在终端通过“curl -X GET -u admin:admin http://localhost:9000/api/rules/search?languages= >> rule.json”命令直接获取规则文件。
除此之外,如果要查看新版本的规则,可以前往“https://rules.sonarsource.com/”网站上查看。

经过本文的详细讲解,我们现在应该已经掌握了SonarQube如何导出问题,SonarQube导出规则文件的多种方法。虽然导出功能能为我们提供数据备份、离线分析等便利,但本质上SonarQube的网页控制台才是日常代码质量管理的主战场,无论是问题还是规则,在SonarQube网页端都可以非常轻松地分类和查看。
展开阅读全文
︾
读者也喜欢这些内容:
SonarQube怎么查看安全热点 SonarQube安全热点状态怎么批量处理
很多人第一次用SonarQube看安全问题时,容易把普通Issues和Security Hotspots混在一起,结果一边找不到入口,一边又误以为安全热点也能像普通问题那样直接批量改状态。官方文档把这两类对象分得很清楚,Security Hotspots有独立页面和独立生命周期,查看和处理逻辑都不完全等同于普通Issues。...
阅读全文 >
SonarQube质量门禁怎么设置 SonarQube质量门禁不生效怎么办
在SonarQube里做质量门禁,最容易出问题的不是条件不会填,而是门禁条件、项目绑定和流水线阻断没有放在同一条链路里看。SonarSource官方说明很明确,质量门禁本质上是一组条件,既可以基于新代码,也可以基于整体代码;实例里还有默认质量门禁,未单独绑定的项目会先继承默认门禁。...
阅读全文 >
SonarQube怎么使用maven SonarQube怎么使用Gitlab
SonarQube作为一款开源的代码质量管理平台,正在被越来越多的开发团队所采用,它不仅能帮助我们检测代码中的潜在问题,还能提供详细的代码质量报告,使团队能够持续改进代码质量。而如今很多Java项目会使用maven来构建,使用Gitlab来团队协作开发,如果能将SonarQube集成到maven和Gitlab中,将大大提高代码检测效率。下面就通过一篇文章,带大家学习SonarQube怎么使用maven,SonarQube怎么使用Gitlab。...
阅读全文 >
SonarQube是免费的吗 SonarQube是开源的吗
代码质量检测是代码上线前大部分公司需要经过的一个环节,它可以有效检测代码中的潜在BUG和安全漏洞,从而降低正式环境使用风险,提高软件可维护性。在众多代码质量管理工具中,SonarQube因为全面的检测能力和可视化报告成为很多开发人员的常用工具之一,不过在使用SonarQube前,我们需要明确两个关键问题:SonarQube是免费的吗,SonarQube是开源的吗?这些问题的答案不仅关乎企业成本预算,更直接决定软件是否可被商用,是否有违法风险。...
阅读全文 >