SonarQube代码扫描安装和使用 SonarQube代码扫描规则及解决方案

品牌型号：联想 E550C ThinkPad

系统：Windows 11

软件版本：SonarQube Server 25

很多项目代码在进行测试时看似正常，但其实内部已经隐藏了难以察觉的漏洞或安全问题，这些潜在问题如同定时炸弹，往往在系统正式上线后，经过大规模用户使用和复杂场景考验时才突然爆发，此时发现却已为时已晚。为了避免此类情况发生，建议项目在上线前要经过SonarQube的代码扫描检测方可安心。而关于SonarQube代码扫描安装和使用，SonarQube代码扫描规则及解决方案的讲解，本文将详细说明，大家感兴趣可以往下阅读。

一、SonarQube代码扫描安装和使用

在网站上下载SonarQube，文件夹中并不会包含SonarQube的扫描程序，而是包含网页端程序和报表汇总程序。SonarQube代码扫描程序需单独安装，安装步骤如下：

1、首先了解扫描程序的环境要求，支持Linux、Windows、MacOS系统，扫描程序SonarScanner CLI要求JRE版本不低于6.0，建议Java版本不低于17。

2、在“https://docs.sonarsource.com/sonarqube-server/latest/analyzing-source-code/scanners/sonarscanner/”文档中找到SonarScanner的下载地址，根据操作系统选择对应版本下载，解压缩后将bin目录绝对路径添加到系统PATH环境变量中。

3、使用前需要在SonarQube网页端项目的“Analysis Method”的“Locally”中，生成项目对应的token，随后再切换到“Other”，获取扫描程序对应的命令，如图3红框所示。

4、打开项目根目录，右键选择“在此处打开PowerShell窗口”，在终端界面粘贴上述获取到的命令，回车运行即可扫描该项目。

二、SonarQube代码扫描规则及解决方案

SonarScanner扫描代码时，遵循SonarQube设置的扫描规则，SonarQube提供了丰富的扫描规则，覆盖了多种编程语言和常见问题类型，可以在网页端的“Rules”菜单中查看到具体规则。

如果为项目设置了自定义的Quality Profile质量检测设置，则可以控制其中规则的激活与否。在规则左侧筛选栏中进行筛选，然后在右侧对应的“Deactivate”和“Activate”按钮切换规则激活状态。

还可以点击Change按钮，调整规则的安全等级、可靠性等级和可维护性等级，将等级调整为合适的程度。

单击进入规则页面，可以在Deion输入框中输入对于规则的描述见解，我们无法修改核心规则的修改方式和原因解析，这些内容由官方维护并定期更新。如果需要自定义规则，可以通过插件或配置Quality Profile实现。

随着SonarQube代码检测工具的进一步发展，代码质量管理正从“事后补救”向“事前预防”转变，通过掌握和深入理解SonarQube代码扫描安装和使用，SonarQube代码扫描规则及解决方案，我们便能够在开发阶段就主动发现并解决潜在问题。这种预防性的质量检测方式，不仅大幅降低了后期修复BUG成本，也从根本上提升了软件的安全性和可靠性。