Sonar（通常指SonarQube）是一款主流的靜態代碼分析工具，用于檢測代碼中的質量問題、安全漏洞、規范違背等問題。其核心目標是通過自動化分析提升代碼質量，降低維護成本和潛在風險。

一、Sonar掃描代碼的核心原理

Sonar的掃描過程本質是靜態代碼分析（無需運行代碼即可檢測問題），核心流程可分為以下幾步：

1. 代碼收集與預處理

• 掃描工具（如 sonar-scanner ）從指定目錄收集源代碼文件（支持多語言，如Java、Python、JavaScript等）。

• 預處理：過濾無關文件（如編譯產物、配置文件），識別代碼的組織結構（如包、類、函數）。

2. 代碼解析與抽象語法樹（AST）生成

• 針對不同編程語言，Sonar使用對應的語言分析器（如Java的 sonar-java 插件、JavaScript的 sonar-javascript 插件）對代碼進行語法解析。

• 將源代碼轉換為抽象語法樹（AST）：AST是代碼的結構化表示，剝離了語法細節（如空格、注釋），僅保留語法邏輯（如變量聲明、條件判斷、函數調用等）。

例如， if (a > b) { c = 1; } 的AST會清晰表示“條件判斷節點”包含“比較表達式節點”和“賦值語句節點”。

3. 規則引擎與問題檢測

• Sonar內置了大量規則（如“避免空指針異常”、“禁止硬編碼密碼”、“減少函數復雜度”等），這些規則被編碼為可執行的檢查邏輯。

• 規則引擎遍歷AST，通過“模式匹配”或“邏輯判斷”檢測代碼是否違反規則：

  • 例如，“禁止未使用的變量”規則會遍歷AST的變量聲明節點，檢查是否有引用該變量的節點

  • “SQL注入風險”規則會檢測字符串拼接SQL語句的模式（如 "SELECT * FROM users WHERE name = " + username ）。

4. 結果聚合與報告生成

• 掃描完成后，工具將檢測到的問題（按嚴重級別、類型分類）發送到SonarQube服務器。
• 服務器對結果進行聚合分析，生成可視化報告（如代碼覆蓋率、重復率、漏洞數量、技術債務等指標），并支持歷史對比和趨勢追蹤。

二、如何制定/配置掃描代碼的規則

Sonar的規則體系支持“內置規則復用”和“自定義規則開發”，具體可根據團隊需求靈活配置：

1. 使用內置規則（基礎配置）

SonarQube默認集成了數千條經過實踐驗證的規則（覆蓋代碼質量、安全、規范等維度），可直接通過界面配置啟用/禁用或調整級別：

• 步驟1：登錄SonarQube控制臺，進入“Quality Profiles”（質量配置文件）。

• 步驟2：選擇對應語言的配置文件（如“Sonar way”是默認配置），點擊“Activate/Deactivate Rules”。

• 步驟3：根據需求篩選規則（按類型：Bug、Vulnerability（漏洞）、Code Smell；按嚴重級別：Blocker、Critical、Major等），勾選需要啟用的規則。

• 步驟4：保存配置后，掃描時將自動應用該規則集。

Vulnerability是什么：漏洞，是安全層面的風險，及時功能正常的代碼也可能存在漏洞，比如密碼明文存儲不影響功能，但存在嚴重安全風險

Code Smell 是什么：代碼異味或代碼壞味道，指代碼中存在的表面性、結構性問題，本身不一定是語法錯誤或功能缺陷，但暗示了代碼設計上或實現上可能存在更深層次的問題，可能影響代碼的可讀性、可維護性、擴展性、可測試性。總結就是代碼的小瑕疵，初期不起眼，積累多了會讓代碼變得難以駕馭。

常見的Code smell類型：重復代碼、過長函數、過大的類、未解釋的數字、字符串、過渡注釋、不一致的命名、過渡耦合、冗余代碼等。

2. 自定義規則（進階需求）

如果內置規則無法滿足團隊特定場景（如公司內部編碼規范、業務相關的風險檢查），可開發自定義規則：

• 核心思路：基于目標語言的AST，編寫檢測邏輯，打包為Sonar插件并部署到服務器。

• 開發步驟（以Java為例）：

  • 1）環境準備：使用Sonar提供的SDK（如 sonar-java-plugin 的API），基于Maven/Gradle創建項目。

  • 2）編寫規則邏輯：

    • 定義規則元信息（名稱、描述、嚴重級別、標簽等）。
    • 實現 IssuableSubscriptionVisitor 接口，通過重寫 visitNode 方法遍歷AST節點，編寫檢測邏輯（如檢測特定函數調用、變量命名格式等）。

     public class ForbiddenMethodCheck extends IssuableSubscriptionVisitor {
         @Override
         public List<Tree.Kind> nodesToVisit() {
             // 關注方法調用節點
             return Collections.singletonList(Tree.Kind.METHOD_INVOCATION);
         }
         
         @Override
         public void visitNode(Tree tree) {
             MethodInvocationTree mit = (MethodInvocationTree) tree;
             // 檢測是否調用了被禁止的方法（如Thread.sleep()）
             if (mit.symbol().name().equals("sleep") && 
                 mit.symbol().owner().name().equals("Thread")) {
                 reportIssue(mit, "禁止使用Thread.sleep()，請使用定時任務框架");
             }
         }
     }

• 3）打包與部署：
  將規則代碼打包為Jar插件，上傳到SonarQube服務器的“Marketplace”或插件目錄，重啟服務器即可生效。

3. 規則管理的最佳實踐

• 循序漸進：初期可基于內置規則集（如“Sonar way”），逐步添加自定義規則，避免因規則過多導致開發效率下降。

• 團隊共識：規則需由開發、測試、安全團隊共同評審，確保合理性（如某些“Code Smell”可能在特定場景下是合理的）。

• 定期迭代：根據項目反饋調整規則（如關閉誤報率高的規則、新增高頻問題的檢測規則）。

• 結合場景：安全敏感項目（如支付系統）應重點啟用安全類規則（如OWASP Top 10相關檢測）；長期維護的項目可加強代碼可讀性、復雜度相關規則。

通過以上方式，Sonar能夠靈活適配不同團隊的代碼質量管理需求，從被動修復問題轉變為主動預防問題。