欢迎来到雄杰鑫电商资讯网
技术教程

c++ SonarQube怎么用 c++代码质量管理平台【工具】

尼克 次阅读
SonarQube 依赖外部工具生成编译信息与分析报告,需先用 CMake 等生成 compile_commands.json,再通过 sonar-scanner 配置 sonar.cfamily.compileCommands 等参数上传分析结果;推荐集成 clang-tidy 或 cppcheck 提升检测能力,并在 SonarQube 界面查看质量指标。

SonarQube 本身不直接编译或解析 C++ 源码,它依赖外部构建和静态分析工具(如 clang++、gcc、CMake)生成编译信息(compile_commands.json)和分析报告(如 clang-tidy、cppcheck 输出),再通过 SonarScanner 或 SonarScanner for MSBuild 将结果上传到 SonarQube 服务器进行展示与质量评估。

准备编译数据库(关键第一步)

C++ 项目必须提供准确的编译上下文,SonarQube 才能正确理解头文件路径、宏定义、模板实例化等。推荐使用 CMake 生成 compile_commands.json

  • 在构建目录中运行:cmake -DCMAKE_EXPORT_COMPILE_COMMANDS=ON .. && make(Linux/macOS)或 cmake -DCMAKE_EXPORT_COMPILE_COMMANDS=ON .. && cmake --build .(Windows)
  • 确认构建目录下生成了 compile_commands.json,且路径无乱码、权限正常
  • 若用 Makefile 或其他构建系统,可用 Bear 工具拦截编译命令生成该文件

配置 SonarScanner 扫描 C++ 项目

下载并解压 SonarScanner CLI,在项目根目录创建 sonar-project.properties

sonar.projectKey=my-cpp-project
sonar.projectName=My C++ Project
sonar.projectVersion=1.0
sonar.sources=src
sonar.cfamily.buildWrapperOutput=.buildwrapper
sonar.cfamily.gcc.reportPath=build/gcc-report.json
sonar.cfamily.cppcheck.reportPath=build/cppcheck-report.xml
sonar.exclusions=**/third_party/**,**/test/**

注意:官方推荐使用 BuildWrapper(仅 Linux/macOS)或 Clang Compilation Database 方式。若用 compile_commands.json,可省略 buildWrapperOutput 行,改用:

立即学习“C++免费学习笔记(深入)”;

  • sonar.cfamily.compileCommands=build/compile_commands.json
  • 确保 sonar-scanner 命令在 build/ 同级目录执行(路径是相对于 scanner 工作目录的)

集成 clang-tidy / cppcheck 提升规则覆盖

SonarQube 自带的 C++ 规则有限(约 100+ 条),需结合主流 linter 增强检测能力:

  • clang-tidy 生成 SARIF 或 JSON 报告:run-clang-tidy -p build/ -export-fixes=clang-tidy-fixes.yaml -format=sarif > clang-tidy.sarif
  • clang-tidy.sarif 路径写入 sonar.cfamily.sarifReportPaths=clang-tidy.sarif
  • cppcheck 可输出 xml:cppcheck --xml --xml-version=2 --enable=all src/ 2> cppcheck-report.xml,再通过 sonar.cfamily.cppcheck.reportPath 引入

启动扫描并查看结果

确保 SonarQube 服务已运行(默认 http://localhost:9000),凭 token 执行:

sonar-scanner \
  -Dsonar.host.url=http://localhost:9000 \
  -Dsonar.token=your_sonarqube_token \
  -Dsonar.login=your_sonarqube_token  # 新版本推荐用 token

扫描完成后,浏览器打开项目主页,即可看到:代码重复率、bug / 漏洞 / 代码异味数量、单元测试覆盖率(需额外配置 gcovr 或 lcov)、技术债务估算等。点击具体问题还能跳转到源码行并显示修复建议。

windows linux 数据库 mac 浏览器 工具 还能 并在 app win 推荐使用 for js json Token 分析报告 macos cos database 解压 http 成了 format 或其他 bug c++ xml 新版本 自带 相对于 先用

相关文章

按ESC键退出。