[CI/CD] SonarQube란?

소나큐브는 정적 코드 분석 도구 중 하나로 우선 정적 분석에 대해 간단하게 알아보겠습니다.

---

정적 분석이란?

정적 분석은 프로그램을 실행하지 않고 소스 코드를 자동으로 검사함여 수행하는 분석 방법입니다. 이를 통해 개발자는 코드 베이스에 대한 이해를 제공하고 코드 베이스가 규정을 준수하고 안전하도록 보장할 수 있습니다.

정적 분석 주요 특징

구분	내용
코드 검사	코드의 문법, 스타일, 잠재적 버그, 보안 취약점 등을 찾기 위해 사용됩니다. 이는 코드의 동작을 이해하지 않고도 가능한 일입니다.
도구 사용	정적 분석을 수행하는 도구들이 있습니다.
자동화	정적 분석 도구는 지속적 통합(CI) 시스템에 통합되어 자동으로 코드 품질을 검사할 수 있습니다.
초기 발견	코드 작성 초기 단계에서 버그와 보안 취약점을 발견할 수 있어, 개발 비용 절감과 코드 품질 향상에 기여합니다.
예방	잠재적 문제를 미리 예방할 수 있어, 실제 소프트웨어 릴리스 전에 심각한 문제를 줄일 수 있습니다.

---

SonarQube란?

소나큐브는 오픈 소스 기반의 정적 코드 분석 도구로, 코드 품질과 보안성을 관리하고 개선하는 데 사용됩니다. 이 도구는 Java, JavaScript, Python, C, C++ 등 20개 이상의 언어 지원하며, 개발 중 발생할 수 있는 코드 결함, 보안 취약점, 유지보수성을 저해하는 문제를 식별합니다. 이를 통해 팀은 더욱 신뢰성 있고 품질 높은 소프트웨어를 개발할 수 있습니다.

소나큐브는 Continuous Inspection을 제공하며, 코드가 변경될 때 마다 실시간으로 품질을 점검하고 분석 보고서를 생성합니다. 이를 통해 코드 품질을 지속적으로 유지하고, 프로젝트 기술 부채를 줄이는 데 기여합니다.

SonarQube 주요 특징

• 정적 코드 분석 지원
• 다양한 언어 지원
• 대시 보드 및 보고서 지원
• 지속적인 통합 지원
• 확장성과 커스터마이징

SonarQube 구성요소

1. 품질 게이트(Quality Gate)

소프트웨어의 품질을 평가하고 관리하기 위한 기준을 설정하는 데 사용됩니다. 코드가 릴리즈 될 수 있는지에 대해 진행/불가를 제공하는 기준이 되는 '코드 품질 지표'를 의미합니다.

여러 가지 기준으로 구성되는데, 일반적으로 코드 커버리지, 코드 복잡성, 버그 및 취약점의 수, 코드 스타일 등이 포함됩니다. 이러한 기준을 프로젝트의 요구 사항과 표준을 충족시키기 위해 조정될 수 있습니다.

2. SonarScanner

소스 코드 품질을 분석하고 정적 분석 보고서를 생성하는 도구입니다. 코드 중복, 코딩 규칙 준수, 성능 문제, 보안 취약점 등을 식별하여 개발자에게 코드 품질을 개선하는 데 도움을 줍니다. 다양한 프로그래밍 언어와 통합되어 사용할 수 있으며, 자동화된 정적 분석을 수행하여 코드 품질을 지속적으로 모니터링할 수 있습니다.

SonarScanner를 이용하기 위해서는 SonarQube 또는 SonarCloud와 같은 SonarSource의 정적 분석 플랫폼이 필요합니다. 소스 코드를 검색하고 분석한 후, 결과를 SonarQube 또는 SonarCloud로 전송하여 분석 보고서를 생성합니다.

3. 규칙(Rules)

SonarQube는 코드 품질 문제(코드 스멜, 버그, 취약점, 보안 취약점 등)을 확인하는 미리 정의된 다양한 규칙을 갖고 있습니다. 이러한 규칙은 수정 가능하여 팀이 특정 요구에 맞게 맞춤 설정할 수 있습니다. 예를 들어 A라는 코드 버그라고 출력이 되고 있지만 우리 팀에서는 A라는 버그는 허용하기로 했다면, 해당 Rule에서 수정이 가능합니다.

4. 코드 규칙 유형

SonarQube를 수행하여 리포트를 얻을 경우 코드 규칙 유형에 대해 출력이 됩니다. 이에 대해 각각에 대해 어떤 문제인지 확인해보아야 합니다.

5. 이슈(Issue)

SonarQube에서 발견된 코드의 문제 또는 개선 사항을 나타냅니다. 이슈는 다양한 유형이 있을 수 있으며, 예를 들어 코드 중복, 코딩 규칙 위반, 보안 취약점 등이 있습니다. SonarQube에서 이슈를 식별하고 표시하여 개발자들이 코드의 문제를 파악하고 수정할 수 있도록 도와줍니다.

---

출처

정적분석

• https://www.perforce.com/blog/sca/what-static-analysis#static
• https://digitalbourgeois.tistory.com/238

SonarQube

• https://adjh54.tistory.com/381