정적 코드 분석 도구 SonarQube를 별도의 추가 설치 및 PC 환경변수의 편집 없이 편리하게 실행할 수 있음
-
해당 메뉴얼이 대상으로 하는 환경
- Windows
-
해당 메뉴얼이 대상으로 하는 프로젝트의 개발환경
- React (javascript)
- Gradle (Java)
이하 Contains 참조
- SonarQube 10.1.0.73491
- OpenJDK 17.0.8+7
- Apache Maven 3.9.4
- Gradle 8.2
- NodeJS 18.17.1
- Python 3.10.10
- Plugin: FindBugs
- Plugin: PMD
해당 Portable 프로그램은 이상의 개발 도구 및 언어에 대한 코드 분석을 지원함
다른 버전을 사용 중이라면 별도의 설치 및 배치 파일의 변수 수정을 요할 수 있음
- PowerShell 혹은 cmd를 통해 배치파일을 실행
C:\StaticCodeAnalysis> StartSonarQube.bat
- localhost:9000 접속 및 로그인
id: admin
pw: admin
-
Manually 선택
-
프로젝트 생성
- Project display name : 프로젝트명 입력
- Project key : 기본적으로 Project display name과 동일
-
Use the global setting -> Create project
-
Locally 선택
-
토큰 생성
-
프로젝트에서 사용 중인 빌드 도구 선택
build.gradle에 아래의 내용 추가
plugins {
id "org.sonarqube" version "4.2.1.3168"
}
초기에 StartSonarQube.bat을 실행하였던 콘솔창을 다룸
-
프로젝트의 경로로 이동 (build.gradle가 위치한 디렉터리의 경로)
-
아래의 명령어를 실행
개행 없이 명령어를 입력
gradlew sonar -Dsonar.projectKey=키 -Dsonar.projectName=이름 -Dsonar.host.url=http://localhost:9000 -Dsonar.token=토큰
- 대기
-
신뢰성 (Reliability) 코드의 안정성과 일관성 잠재적인 문제 식별
-
유지보수성 (Maintainability) 복잡한 코드 구조 주석 부족 코드 중복
-
보안 (Security) :
⚠️ 핵심⚠️ 취약점, 약점 식별 -
보안 검토 (Security Review) 보안 표준과 일치하도록 개선이 필요한 부분을 강조
실행 중인 콘솔 창에서 종료
ctrl + c
각 언어에 따른 진단 기준 모음집
Set as Default 을 통해 진단 기준을 변경할 수 있음
진단 기준들에 대하여 열람할 수 있음
Reference