SonarQube es una plataforma de código abierto diseñada para ayudar a los equipos de desarrollo de software a mejorar la calidad de su código fuente. Proporciona una variedad de herramientas y funciones para realizar análisis automáticos del código, identificar problemas de calidad, errores, vulnerabilidades de seguridad y áreas de mejora.
En esta ocasión usaremos Docker compose para ejecutar sonarqube (El archivo YAML esta en el repositorio).
Este archivo YAML define dos servicios Docker, SonarQube y una base de datos PostgreSQL, configurados para ejecutarse en una red interna llamada "sonarnet", donde SonarQube se conecta a la base de datos utilizando variables de entorno para la URL JDBC y las credenciales. Además, se definen volúmenes para persistir los datos de SonarQube y PostgreSQL entre reinicios de contenedores.
Ejecutaremos docker compose up para levantar los contenedores.
docker compose up
Contenedores:
Ingresamos a SonarQube a través de la URL localhost:9000
. Las credenciales de autenticación predeterminadas son:
- Usuario: admin
- Contraseña: admin
- Crear un peoyecto local
Primero, necesitas asignar un nombre al proyecto, así como una clave única que lo identifique. Además, debes definir cuál será la rama principal del proyecto, ya que esta rama será la que se revise en las evaluaciones posteriores.
Una vez hecho esto, puedes utilizar la configuración global predeterminada para el proyecto. Esto significa que se utilizarán los ajustes generales que vienen por defecto.
Después, debes elegir el método de análisis local para el proyecto. Esto implica que el análisis del código se realizará en el entorno local, es decir, en tu propio equipo, en lugar de en un servidor remoto o en la nube.
Necesitamos crear un token de autenticación que se utilizará para realizar los análisis de código del proyecto. Este token servirá como una forma segura de autenticar y autorizar los análisis que se realizarán en SonarQube.
Antes de continuar, necesitamos instalar Sonar-Scanner.
- Necesitamos obtener el archivo comprimido que contiene la última versión del Sonar-Scanner. Una vez que lo tengamos, lo extraemos para acceder a los archivos y carpetas que contiene. Este paso nos permitirá preparar el Sonar-Scanner para su uso posterior en nuestros análisis de código.
Puede que necesites...
sudo apt install wget
sudo apt install unzip
- En esta pagina encontraras el paso a paso para instalarlo y configurarlo.
https://docs.sonarsource.com/sonarqube/10.5/analyzing-source-code/scanners/sonarscanner/
Dirígete al directorio principal de tu proyecto y ejecuta el escáner. Después de esto, espera a que el escáner complete las verificaciones y el análisis del código. Una vez que el análisis esté completo, recarga la página del dashboard en SonarQube para ver los resultados del análisis y cualquier problema identificado en el código.
sonar-scanner \
- Este comando escanea el código.
Una vez finalizado el análisis del código, podrás ver los resultados en el panel de control de SonarQube. Aquí encontrarás un resumen de la calidad del código, que incluye métricas como la cantidad de problemas detectados, la cobertura del código, la duplicación y la complejidad.