IBM Cloud Docs
Configuration de Sonarqube

Configuration de Sonarqube

SonarQube offre un aperçu de la qualité et de la santé générale de votre code source et met en évidence les problèmes détectés dans le nouveau code. Les analyseurs de code détectent les bogues sensibles, comme par exemple les déréférences d'un pointeur NULL, les erreurs logiques et les fuites de ressources dans plus de 20 langages de code.

Configurez SonarQube pour analyser et mesurer en continu la qualité de votre code source :

  1. Dans la console IBM Cloud, cliquez sur l'icône Menu > Automatisation de la plateforme > Chaînes d'outils. Sur la page Chaînes d'outils, cliquez sur la chaîne d'outils afin d'ouvrir sa page Vue d'ensemble. Vous pouvez également, depuis votre page de présentation de l'application, sur la carte Distribution continue, cliquer sur Afficher la chaîne d'outils. Ensuite, cliquez sur Vue d'ensemble.

    a. Cliquez sur Ajouter un outil.

    b. Dans la section Intégrations d'outils, cliquez sur SonarQube.

  2. Saisissez un nom pour cette instance de l'intégration d'outils SonarQube.

  3. Entrez l'URL de l'instance SonarQube que vous souhaitez ouvrir lorsque vous cliquez sur la carte SonarQube depuis votre chaîne d'outils.

  4. Facultatif : entrez le nom d'utilisateur que vous utilisez pour vous connecter au serveur SonarQube.

    Vous devez uniquement spécifier un nom d'utilisateur si vous utilisez un mot de passe pour vous connecter au serveur SonarQube. Si vous utilisez un jeton d'authentification pour la connexion, laissez cette zone vide.

  5. Entrez le mot de passe ou le jeton d'authentification que vous utilisez pour vous connecter au serveur SonarQube.

  6. Si le serveur ne peut pas se trouver sur Internet public, sélectionnez Avancé. IBM Cloud ne peut pas valider les détails de connexion que vous fournissez et certaines fonctions nécessitant un accès API à ce serveur sont désactivées. Le pipeline de distribution fonctionne uniquement à l'aide d'un agent privé qui dispose d'un accès réseau à ce serveur.

  7. Cliquez sur Créer une intégration.

  8. Sur la page Présentation de la chaîne d'outils, sur la carte Outils tiers, cliquez sur SonarQube pour afficher le tableau de bord de l'instance SonarQube à laquelle vous vous êtes connecté.

Ajout de Sonarqube au pipeline d'intégration continue

Instance SonarQube par défaut

Si vous n'avez pas votre propre instance SonarQube, le pipeline crée une instance SonarQube lors de l'exécution du pipeline. Vous pouvez accéder à cette instance après l'exécution réussie de l'étape static-scan.

Instance SonarQube existante

Pour ajouter votre propre instance SonarQube à votre pipeline existant, ajoutez l'intégration d'outils à votre chaîne d'outils, puis ajoutez le paramètre d'intégration de l'outil Sonarqube au pipeline.

Paramètres obligatoires

Pour exécuter l'analyse SonarQube, le pipeline a besoin des paramètres d'intégration continue suivants :

Continuous integration pipeline parameters
Nom Type Description Requise ou facultative
cluster-name texte Nom du cluster de génération Docker. Obligatoire
dev-region texte Région IBM Cloud qui héberge le cluster. Obligatoire
opt-in-sonar texte Option permettant d'activer l'analyse sonarQube. Obligatoire
sonarqube intégration des outils Intégration de l'outil Sonarqube. Facultatif

Pour plus d'informations sur les paramètres des pipelines, voir Paramètres des pipelines.

Si vous ajoutez plusieurs intégrations d'outils SonarQube à votre pipeline, vous pouvez passer de l'une à l'autre en modifiant la valeur du paramètre de pipeline sonarqube, qui est un paramètre d'intégration d'outils.

Mise à jour du seuil de qualité

Si vous utilisez l'instance SonarQube que le pipeline a créé, vous pouvez mettre à jour le seuil de qualité par défaut.

  1. Accédez au tableau de bord SonarQube qui a été créé par l'URL à partir des journaux de pipeline dans la tâche static-scan.

    SonarQube dashboard
    SonarQube dashboars

  2. Cliquez sur Quality Gates > Create.

  3. Définissez votre seuil de qualité à l'aide de l'une des options suivantes :

    • Cliquez sur Set as Default pour définir le nouveau seuil de qualité comme seuil par défaut.
    • Dans le tableau de bord, sélectionnez le projet, puis cliquez sur Paramètres du projet > Quality Gate pour utiliser le nouveau seuil de qualité créé pour le projet.
  4. Indiquez le seuil de qualité à associer au projet. Les nouvelles analyses sont évaluées en fonction de ce seuil de qualité et la preuve est créée sur la base des résultats du seuil de qualité.

Pour en savoir plus sur SonarQube, voir la documentationSonarQube.

Utilisation de votre propre fichier de configuration

Vous pouvez modifier la configuration par défaut sans utiliser votre propre instance SonarQube. Créez un fichier sonar-project.properties dans le référentiel dans lequel vous souhaitez créer le fichier de configuration. Si notre script détecte un fichier configuration sonar-project.properties existant dans le référentiel, il utilise ce fichier au lieu du fichier par défaut. Pour plus d'informations sur les paramètres d'analyse possibles dans le fichier de configuration, voir Paramètres d'analyse ici.

Veillez à ajouter les données d'identification de connexion et l'URL d'hôte correctes dans le fichier de configuration.

Utilisation d'une autre implémentation d'analyse statique

Vous pouvez modifier votre fichier .pipeline-config.yaml pour ajouter votre propre script personnalisé à l'étape static-scan afin d'utiliser votre propre implémentation d'analyse statique.

Configuration de SonarQube à l'aide de l'API

L'intégration d'outils SonarQube prend en charge les paramètres de configuration suivants que vous pouvez utiliser avec l'API HTTP Toolchain et les logiciels SDK lorsque vous créez, lisezet mettez à jour les intégrations d'outils.

Vous devez spécifier la propriété tool_type_id dans le corps de la demande avec la valeur sonarqube.

Paramètres d'intégration de l'outilSonarQube
Paramètre Utilisation Type Argument Terraform Description
connexion_aveugle facultatif, actualisable, " Default: false Booléen connexion_aveugle Définissez sur true pour indiquer à Continuous Delivery d'ignorer la validation de la configuration de cette intégration. Définissez également la valeur true si le serveur SonarQube n'est pas adressable sur l'Internet public.
dashboard_url requis, pouvant être mis à jour Chaîne url_serveur URL des tableaux de bord du serveur SonarQube pour cette intégration d'outils. Dans l'interface graphique, le navigateur accède à ce tableau de bord lorsque vous cliquez sur la carte d'intégration d'outils SonarQube.
nom requis, pouvant être mis à jour Chaîne nom Nom de cette intégration d'outils.
connexion_utilisateur facultatif, pouvant être mis à jour Chaîne connexion_utilisateur ID utilisateur pour l'authentification auprès du serveur SonarQube.
motdepasse_utilisateur facultatif, pouvant être mis à jour Mot de passe motdepasse_utilisateur Mot de passe ou jeton à authentifier auprès du serveur SonarQube. Vous pouvez utiliser une référence de secrets de chaîne d'outils pour ce paramètre. Pour plus d'informations sur les références de secrets, voir Protection de vos données sensibles dans Continuous Delivery.