asuuto/sonar-scanner Docker Image Overview

asuuto/sonar-scanner

Sonar Scanner是SonarQube的客户端工具，用于分析代码并将结果发送至SonarQube服务器，实现代码质量、安全性及可维护性的自动化检测与评估。

0 次下载

😎 镜像稳了，发布才敢点回车

中文简介版本下载

😎 镜像稳了，发布才敢点回车

Sonar Scanner Docker镜像文档

概述

Sonar Scanner是SonarQube生态系统的核心客户端工具，用于对源代码进行静态分析，并将分析结果上传至SonarQube服务器。通过集成多种代码规则引擎，它能够检测代码中的漏洞、bug、代码异味及重复代码，帮助开发团队持续提升软件质量。该Docker镜像封装了Sonar Scanner运行环境，简化了工具部署与跨平台使用流程。

核心功能与特性

多语言支持：兼容Java、Python、JavaScript、C#、C/C++等20+编程语言的代码分析。
灵活集成：支持与Maven、Gradle、Jenkins、GitLab CI等构建/CI工具无缝集成。
规则自定义：可通过SonarQube服务器配置分析规则，支持自定义质量门槛（如覆盖率、bug数量）。
详细报告：生成包含代码复杂度、重复率、安全漏洞、可维护性评分的结构化报告。
轻量部署：Docker镜像化封装，无需本地安装依赖，直接通过容器运行分析任务。

使用场景

CI/CD流水线集成：在代码提交或构建阶段自动触发分析，阻止不合格代码合并/部署。
本地开发辅助：开发人员在提交代码前，通过本地容器运行分析，提前发现问题。
项目质量审计：定期对存量项目执行全量分析，生成质量评估报告，指导优化方向。
开源项目合规检查：检测第三方依赖的许可证合规性及安全漏洞，降低***与安全风险。

使用方法

基本使用（docker run）

bash
docker run --rm \
  -v $(pwd):/usr/src \  # 挂载本地代码目录至容器内分析路径
  -e SONAR_HOST_URL="[***]" \  # SonarQube服务器地址
  -e SONAR_TOKEN="your-auth-token" \  # SonarQube认证令牌（从服务器获取）
  -e SONAR_PROJECT_KEY="my-project-key" \  # 项目唯一标识（在SonarQube中预配置）
  sonarsource/sonar-scanner-cli

环境变量配置

环境变量	说明	必需性
SONAR_HOST_URL	SonarQube服务器URL（如`[***]`）	是
SONAR_TOKEN	SonarQube用户令牌（具有项目分析权限，从服务器"我的账号>安全"中生成）	是
SONAR_PROJECT_KEY	项目在SonarQube中的唯一标识	是
SONAR_PROJECT_NAME	项目名称（默认与`SONAR_PROJECT_KEY`一致）	否
SONAR_PROJECT_VERSION	项目版本号（如`1.0.0`）	否
SONAR_SCANNER_OPTS	JVM参数（如`-Xmx512m`调整内存）	否

自定义配置文件（sonar-project.properties）

在代码根目录创建sonar-project.properties文件，覆盖默认配置：

properties
# 项目基本信息
sonar.projectKey=my-project-key
sonar.projectName=My Project
sonar.projectVersion=1.0.0

# 源代码目录（相对于容器内挂载路径）
sonar.sources=src/main/java
sonar.tests=src/test/java

# 语言与编码
sonar.language=java
sonar.sourceEncoding=UTF-8

# 质量门槛配置
sonar.qualitygate.status=passed  # 仅当质量门通过时返回成功

运行时无需指定环境变量，容器会自动读取配置文件：

bash
docker run --rm -v $(pwd):/usr/src sonarsource/sonar-scanner-cli

Docker Compose集成示例

yaml
version: '3'
services:
  sonar-scanner:
    image: sonarsource/sonar-scanner-cli
    volumes:
      - ./code:/usr/src  # 挂载代码目录
    environment:
      - SONAR_HOST_URL=[***]
      - SONAR_TOKEN=your-token
      - SONAR_PROJECT_KEY=my-project
    depends_on:
      - sonarqube  # 确保SonarQube服务器已启动

  sonarqube:  # 可选：本地SonarQube服务（用于测试）
    image: sonarqube:latest
    ports:
      - "9000:9000"
    environment:
      - SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true

高级用法：集成CI工具（GitLab CI示例）

在.gitlab-ci.yml中添加分析任务：

yaml
sonar-scan:
  image: sonarsource/sonar-scanner-cli
  stage: test
  variables:
    SONAR_HOST_URL: "[***]"
    SONAR_TOKEN: "$SONARQUBE_TOKEN"  # 从GitLab CI/CD变量中获取令牌
    SONAR_PROJECT_KEY: "gitlab-$CI_PROJECT_ID"
  script:
    - sonar-scanner -Dsonar.projectKey=$SONAR_PROJECT_KEY
  only:
    - main  # 仅在main分支触发分析