sonar-scanner 需jdk 11–17且java_home须正确配置;go覆盖率需转lcov格式并用sonar.go.coverage.reportpaths指定;认证须用sonar.Token而非sonar.login;sonargo插件版本须匹配sonarqube版本。
sonar-scanner 命令跑不起来,提示 Error: JAVA_HOME is not set
Go 本身不依赖 Java,但官方 sonar-scanner CLI 是 Java 写的,必须有 JDK 11–17(SonarQube 9.9+ 要求 JDK 17)。很多 Go 开发者本地没装 Java,一执行就报这个错。
- 别试图用
go install或brew install sonar-scanner绕过——它本质还是个 Java jar 包封装 - Mac 用户推荐用
brew install openjdk@17 && export JAVA_HOME=$(/opt/homebrew/opt/openjdk@17/bin/java -XshowSettings:properties -version 2>&1 | grep "java.home" | cut -d "=" -f2 | tr -d " ") - linux / CI 环境里,docker 镜像直接用
sonarsource/sonar-scanner-cli:latest(自带 JDK 17),比自己配环境省心
Go 项目扫描时 sonar.go.tests.reportPaths 总是找不到测试覆盖率
SonarQube 默认不识别 Go 的 go test -coverprofile 输出,必须手动把覆盖率转成 SonarQube 能读的格式(lcov),再通过配置项告诉扫描器。
- 先生成 lcov 格式:
go test ./... -covermode=count -coverprofile=coverage.out && go run github.com/axw/gocov/gocov convert coverage.out | go run github.com/AlekSi/gocov-xml > coverage.xml(注意:gocov-xml 输出的是 XML,不是 lcov;真正要用 lcov 就得加gocov-report或gotestsum) - 更稳的路径是用
gotestsum --format testname -- -coverprofile=coverage.out+go tool cover -func=coverage.out | grep "^github.com/yourorg/yourrepo" | awk '{print $1","$2","$3}' | sed 's/,$//' | awk -F, '{print $1":0:"$2":"$3}' | sort -u > coverage.lcov(手动拼 lcov 行,虽土但兼容性好) -
sonar.go.tests.reportPaths是给单元测试报告用的(如 xunit XML),不是覆盖率——覆盖率对应的是sonar.coverage.jacoco.xmlReportPaths或sonar.go.coverage.reportPaths(SonarGo 插件 v1.8+ 才支持后者)
CI 流水线里 sonar-scanner 报 ERROR: Not authorized. Please check the value of the Property 'sonar.login'
新版 SonarQube(8.9+)默认禁用 token-based 认证,且 sonar.login 已废弃,必须用 sonar.token(或 SONAR_TOKEN 环境变量)配合 sonar.host.url。
- Token 必须在 SonarQube ui 的「User → My Account → Security → Generate Tokens」里创建,不能复用旧版 admin 密码
- 流水线中别硬编码 token,用 CI 平台的 secret 注入机制(GitHub Actions 的
secrets.SONAR_TOKEN,gitlab CI 的variables.SONAR_TOKEN) - Go 项目常漏掉
sonar.projectBaseDir=.,尤其当sonar-scanner在子目录下运行时,会导致源码路径解析错位,连带认证失败日志被掩盖
扫描结果里 Go 文件全是灰色,sonar.language 不生效
SonarQube 从 9.0 开始不再靠 sonar.language 指定语言,而是自动根据文件后缀和插件启用状态判断。Go 支持依赖 SonarGo 插件,且必须匹配 SonarQube 版本。
立即学习“go语言免费学习笔记(深入)”;
- 确认插件已安装:访问
http://your-sonarqube-url/settings/plugins,搜Go,状态要是Installed(不是Disabled) - 检查 Go 插件版本兼容性:SonarQube 9.9 要求 SonarGo ≥ 1.8;用旧插件会静默跳过 .go 文件
- 扫描时加
-Dsonar.verbose=true,看日志里有没有Language detected: go或Skipping file ... because no language matches—— 后者说明插件根本没加载
Go 的静态扫描不像 Java 那样开箱即用,SonarGo 插件对覆盖率格式、token 认证、插件版本都特别敏感,最容易卡在“看着命令跑完了,但结果里啥都没有”这一步。多翻 sonar-scanner -X 的 debug 日志,比反复改配置更快。