怎么让 SonarQube 扫描到你的 Java 项目源码
SonarQube 默认不会自动发现 pom.xml 或 src/main/java,它只认你明确告诉它“从哪扫”“用什么编译器”。常见现象是扫描后显示 0 行代码、java.lang.NoClassDefFoundError、或者连 src 目录都不出现在文件列表里。
- 必须在项目根目录下运行扫描命令,且该目录要包含
pom.xml(Maven)或build.gradle(Gradle) - 用
sonar-scanner时,显式指定-Dsonar.java.binaries=target/classes(Maven 默认路径),否则它找不到已编译的.class文件,无法做语法树分析 - 如果用了 Lombok,得加
-Dsonar.java.lombokSupport=true(SonarJava 7.0+),否则会把带@Data的类判为“缺少 getter/setter”误报 - 多模块 Maven 项目,别在子模块里单独扫——要在父 POM 所在目录执行,且确保所有模块都已执行过
mvn compile
为什么 sonar-scanner 总报 “Unable to load component class org.sonar.scanner.scan.filesystem.FileIndexer”
这错误本质是插件和 Java 版本不兼容,不是配置写错了。SonarScanner 自身有 JDK 要求,而它调用的 SonarJava 插件还有额外依赖。
- SonarQube 9.9+ + SonarScanner 4.8+ 要求本地 JDK ≥ 17;若你用 JDK 8 编译项目,扫描器却用 JDK 17 运行,一般没问题;但反过来(扫描器用 JDK 8)会直接抛这个错
- 检查
sonar-scanner -version输出里的 “Java version”,再核对$JAVA_HOME指向是否一致 - 如果你在 CI(比如 Jenkins)里扫,别只改构建脚本里的
java -jar sonar-scanner.jar,得确认整个 agent 使用的 JDK 是匹配的 - 社区版默认带 SonarJava 插件,但如果你手动删过
extensions/plugins/下的sonar-java-plugin-*.jar,这个错也会出现
如何让 SonarQube 正确识别 JUnit 5 测试覆盖率
默认情况下,SonarQube 只认 JaCoCo 的 jacoco.exec,而且只认生成在固定位置、用特定方式生成的结果。JUnit 5 本身不产生覆盖率,靠 JaCoCo 配合构建工具注入。
- Maven 项目必须在
pom.xml里启用 JaCoCo 插件,并绑定到prepare-package生命周期,示例关键段:<plugin> <groupId>org.jacoco</groupId> <artifactId>jacoco-maven-plugin</artifactId> <version>0.8.11</version> <executions> <execution> <goals><goal>prepare-agent</goal></goals> </execution> </executions> </plugin> - 扫描时加参数:
-Dsonar.coverage.jacoco.xmlReportPaths=target/site/jacoco/jacoco.xml(注意是 XML 格式报告,不是二进制jacoco.exec) - 确保测试执行阶段(如
mvn test)确实跑起来了——SonarQube 不会帮你执行测试,它只读报告 - Gradle 用户注意:
jacocoTestReporttask 默认不生成 XML,需在jacoco { reports { xml.required = true } }里打开
本地调试时怎么跳过 SonarQube 服务器验证
你只是想验证扫描逻辑是否正确,又不想搭完整服务,可以用内置的“开发者模式”跳过远程校验,但要注意这不是长期方案。
立即学习“Java免费学习笔记(深入)”;
- 启动 SonarQube 时加参数:
-Dsonar.web.javaAdditionalOpts="-Djava.security.egd=file:/dev/./urandom"并配sonar.web.host=0.0.0.0,但这仍需完整服务运行 - 更轻量的方式:用
sonar-scanner的离线模式,加上-Dsonar.host.url=http://localhost:9000 -Dsonar.token=xxx,再配合本地快速启动的 SonarQube Docker 实例(docker run -d -p 9000:9000 --name sonarqube sonarqube:lts-community) - 千万别用
-Dsonar.host.url=http://fake试图绕过——它会在连接阶段直接失败,不输出任何分析日志 - 如果只是测配置文件是否被读取,加
-X参数看 debug 日志里有没有Load project settings和Index files就够了,不一定真连服务器
真正卡住人的往往不是配置项本身,而是编译产物路径和 JaCoCo 报告生成时机这两个点——它们不报错,但扫出来覆盖率永远是 0%,且日志里没有任何提示。
