sonar-scanner 扫描 Go 项目需四点齐备:手动创建 sonar-project.properties 并设 sonar.language=go、正确生成 coverage.json 覆盖率报告、标准化 sonar.projectKey(/→:、.→-)、确保 SonarQube≥9.9 与 sonar-go-plugin≥4.4 版本匹配。
sonar-scanner 命令无法识别 Go 模块路径
Go 项目默认不生成 sonar-project.properties,而 sonar-scanner 又依赖它定位源码和模块根目录。直接在 go.mod 所在目录运行 sonar-scanner 会报 ERROR: The project key is not provided 或扫描空结果。
必须手动创建配置文件,并显式声明 Go 特有参数:
-
sonar.language=go—— 不加这行,SonarQube 会按通用规则解析,跳过.go文件 -
sonar.sources=.—— 推荐设为当前目录,避免遗漏嵌套包;若含测试文件,可额外加sonar.tests=. -
sonar.go.tests.reportPaths需指向go test -json输出的 JSON 报告路径(如report.json),否则覆盖率为空 - Go 1.21+ 项目若用
go.work,需确保sonar-scanner在 workspace 根下执行,否则子模块路径解析失败
go test -json 输出格式不兼容 SonarQube 覆盖率解析
SonarQube 的 Go 插件(sonar-go-plugin)只认标准 go test -json 输出,但默认不包含覆盖率数据;强行传入未启用 -coverprofile 的 JSON,会导致覆盖率始终为 0%。
正确做法是分两步生成报告:
立即学习“go语言免费学习笔记(深入)”;
- 先运行
go test -json -coverprofile=coverage.out ./...,生成覆盖率二进制文件 - 再用
go tool cover -json=coverage.out > coverage.json转成 SonarQube 可读的 JSON 格式 - 在
sonar-project.properties中设置sonar.go.coverage.reportPaths=coverage.json - 注意:不能用
gocov或gotestsum的 JSON,它们字段结构不同,SonarQube 会静默忽略
Go module 名称与 SonarQube 项目 Key 冲突
Go 模块名(module github.com/user/repo)常含斜杠和点号,而 SonarQube 的 sonar.projectKey 不允许 / 和 .,否则 Web UI 创建项目失败或 API 报 400 Bad Request。
必须做标准化转换:
- 把
/替换为:或-(例如github.com/user/repo→github.com:user:repo) - 把
.替换为-(example.com→example-com) - 避免纯数字开头,如
2024-api改为api-2024 - CI 中建议用
sed或tr自动处理:sed 's/\//:/g; s/\./-/g'
本地 sonar-scanner 与 SonarQube 服务端版本不匹配
Go 插件支持有严格版本绑定:SonarQube 9.9+ 才支持 sonar-go-plugin 4.4+,而旧版插件(如 3.x)根本不识别 go test -json 覆盖率报告。
检查方式简单直接:
- 访问
http://your-sonarqube-url/about确认 SonarQube 版本 - 进「Administration > Marketplace」查已安装的
Go插件版本 - 运行
sonar-scanner -version,确保其内置 scanner 版本 ≥ 对应插件要求(如 plugin 4.4 要求 scanner ≥ 4.8) - 常见坑:Docker 启动 SonarQube 时用了
ltstag,实际拉的是 9.7,但文档写“支持 Go”,其实是误导——得升到9.9或更高
模块路径处理、覆盖率数据格式、项目标识符合法性、插件版本对齐——这四点漏掉任一,扫描就会“看似成功,实则丢数据”。尤其 sonar.projectKey 的字符限制和 coverage.json 的生成方式,最容易在 CI 日志里藏得深,跑完才在 UI 上发现覆盖率空白或项目没更新。
