SonarQube 依赖外部工具生成编译信息与分析报告,需先用 CMake 等生成 compile_commands.json,再通过 sonar-scanner 配置 sonar.cfamily.compileCommands 等参数上传分析结果;推荐集成 clang-tidy 或 cppcheck 提升检测能力,并在 SonarQube 界面查看质量指标。
SonarQube 本身不直接编译或解析 C++ 源码,它依赖外部构建和静态分析工具(如 clang++、gcc、CMake)生成编译信息(compile_commands.json)和分析报告(如 clang-tidy、cppcheck 输出),再通过 SonarScanner 或 SonarScanner for MSBuild 将结果上传到 SonarQube 服务器进行展示与质量评估。
准备编译数据库(关键第一步)
C++ 项目必须提供准确的编译上下文,SonarQube 才能正确理解头文件路径、宏定义、模板实例化等。推荐使用 CMake 生成 compile_commands.json:
- 在构建目录中运行:
cmake -DCMAKE_EXPORT_COMPILE_COMMANDS=ON .. && make(Linux/macOS)或cmake -DCMAKE_EXPORT_COMPILE_COMMANDS=ON .. && cmake --build .(Windows) - 确认构建目录下生成了
compile_commands.json,且路径无乱码、权限正常 - 若用 Makefile 或其他构建系统,可用 Bear 工具拦截编译命令生成该文件
配置 SonarScanner 扫描 C++ 项目
下载并解压 SonarScanner CLI,在项目根目录创建 sonar-project.properties:
sonar.projectKey=my-cpp-project sonar.projectName=My C++ Project sonar.projectVersion=1.0 sonar.sources=src sonar.cfamily.buildWrapperOutput=.buildwrapper sonar.cfamily.gcc.reportPath=build/gcc-report.json sonar.cfamily.cppcheck.reportPath=build/cppcheck-report.xml sonar.exclusions=**/third_party/**,**/test/**
注意:官方推荐使用 BuildWrapper(仅 Linux/macOS)或 Clang Compilation Database 方式。若用 compile_commands.json,可省略 buildWrapperOutput 行,改用:
立即学习“C++免费学习笔记(深入)”;
sonar.cfamily.compileCommands=build/compile_commands.json- 确保 sonar-scanner 命令在
build/同级目录执行(路径是相对于 scanner 工作目录的)
集成 clang-tidy / cppcheck 提升规则覆盖
SonarQube 自带的 C++ 规则有限(约 100+ 条),需结合主流 linter 增强检测能力:
- 用
clang-tidy生成 SARIF 或 JSON 报告:run-clang-tidy -p build/ -export-fixes=clang-tidy-fixes.yaml -format=sarif > clang-tidy.sarif - 将
clang-tidy.sarif路径写入sonar.cfamily.sarifReportPaths=clang-tidy.sarif - cppcheck 可输出 xml:
cppcheck --xml --xml-version=2 --enable=all src/ 2> cppcheck-report.xml,再通过sonar.cfamily.cppcheck.reportPath引入
启动扫描并查看结果
确保 SonarQube 服务已运行(默认 http://localhost:9000),凭 token 执行:
sonar-scanner \ -Dsonar.host.url=http://localhost:9000 \ -Dsonar.token=your_sonarqube_token \ -Dsonar.login=your_sonarqube_token # 新版本推荐用 token
扫描完成后,浏览器打开项目主页,即可看到:代码重复率、bug / 漏洞 / 代码异味数量、单元测试覆盖率(需额外配置 gcovr 或 lcov)、技术债务估算等。点击具体问题还能跳转到源码行并显示修复建议。
