Configurazione di Sonarqube
SonarQube fornisce una panoramica dello stato generale e della qualità del codice sorgente ed evidenzia i problemi riscontrati nel nuovo codice. I programmi di analisi del codice rilevano errori complessi, come ad esempio dereferenziazioni di puntatori null, errori di logica e perdita di risorse, per più di 20 linguaggi di codifica.
Configura SonarQube per analizzare e misurare continuamente la qualità del tuo codice sorgente:
-
Dalla console IBM Cloud, fare clic sull'icona Menu
Automazione piattaforma > Toolchains. Nella pagina Toolchains, fai clic sulla toolchain
per aprirne la pagina di panoramica. In alternativa, nella pagina della panoramica della tua applicazione, nella scheda di fornitura continua, fai clic su View toolchain. Fai quindi clic su Overview.a. Fai clic su Add a tool.
b. Nella sezione Tool Integrations, fai clic su SonarQube.
-
Immetti un nome per questa istanza dell'integrazione dello strumento SonarQube.
-
Immetti l'URL per l'istanza SonarQube che desideri aprire quando fai clic sulla scheda SonarQube dalla tua toolchain.
-
Facoltativo: immetti il nome utente che utilizzi per connetterti al server SonarQube.
Devi specificare un nome utente solo se utilizzi una password per connetterti al server SonarQube. Se per la connessione utilizzi un token di autenticazione, lascia vuoto questo campo.
-
Immetti la password o il token di autenticazione che utilizzi per connetterti al server SonarQube.
-
Se il server non può essere individuato su Internet pubblico, seleziona Avanzate. IBM Cloud non può convalidare i dettagli di connessione che fornisci e alcune funzioni che richiedono l'accesso API a questo server sono disabilitate. La pipeline di distribuzione funziona solo utilizzando un operatore privato che ha accesso di rete a questo server.
-
Fai clic su Crea integrazione.
-
Nella pagina Panoramica della tua toolchain, sulla scheda Strumenti di terze parti, fai clic su SonarQube per visualizzare il pannello di controllo per l'istanza SonarQube a cui ti sei connesso.
Aggiunta di Sonarqube alla pipeline di integrazione continua
Istanza SonarQube predefinita
Se non hai la tua propria istanza SonarQube, la pipeline crea un'istanza SonarQube durante l'esecuzione della pipeline. È possibile accedere a questa istanza dopo che la fase di scansione statica è stata eseguita correttamente.
Istanza SonarQube esistente
Per aggiungere la tua propria istanza SonarQube alla tua pipeline esistente, aggiungi l'integrazione dello strumento alla tua toolchain e quindi aggiungi il parametro di integrazione dello strumento Sonarqube alla pipeline.
Parametri obbligatori
Per eseguire la scansione SonarQube, la pipeline ha bisogno dei seguenti parametri di integrazione continua:
| Nome | Immettere | Descrizione | Obbligatoria o facoltativa |
|---|---|---|---|
| nome - cluster | text | Nome del cluster di build Docker. | Obbligatorio |
| area di sviluppo | text | La regione IBM Cloud che ospita il cluster. | Obbligatorio |
| opt-in - sonar | text | L'opzione per abilitare la scansione sonarQube. | Obbligatorio |
| sonarqube | integrazione strumento | L'integrazione dello strumento Sonarqube. | Facoltativo |
Per ulteriori informazioni sui parametri delle pipeline, vedi Parametri pipeline.
Se aggiungi più integrazioni dello strumento SonarQube alla tua pipeline, puoi passare da una pipeline all'altra modificando il valore del parametro sonarqube pipeline, che è un parametro di integrazione dello strumento.
Aggiornamento del gate di qualità
Se utilizzi l'istanza SonarQube creata dalla pipeline, puoi aggiornare il gate di qualità predefinito.
-
Vai al dashboard SonarQube creato dall'URL dai log della pipeline nell'attività
static-scan.
SonarQube dashboars -
Fare clic su Portata qualità > Crea.
-
Imposta il tuo Quality Gate utilizzando una delle opzioni seguenti:
- Fare clic su Imposta come predefinito per impostare il gate di qualità appena creato come predefinito.
- Dal pannello di controllo, selezionare il progetto e fare clic su Impostazioni progetto > Quality Gate per utilizzare il gate di qualità appena creato per il progetto.
-
Specificare quale gate di qualità si desidera associare al progetto. Nuove scansioni vengono valutate da questo gate di qualità e la prova viene creata dai risultati del gate di qualità.
Per saperne di più su SonarQube, consultare la DocumentazioneSonarQube.
Utilizzo del proprio file di configurazione
Puoi modificare la configurazione predefinita senza utilizzare la tua istanza SonarQube. Crea un file sonar-project.properties nel repository in cui vuoi creare il file di configurazione. Se il nostro script rileva un file configuration sonar-project.properties esistente nel repository, utilizza tale file invece del file predefinito. Per ulteriori informazioni sui parametri di analisi possibili nel file di configurazione, consultare Parametri di analisi qui.
Assicurarsi di aggiungere le credenziali di collegamento e l'URL host corretti al file di configurazione.
Utilizzo di un'altra implementazione della scansione statica
È possibile modificare il proprio file .pipeline-config.yaml per aggiungere il proprio script personalizzato allo stage static-scan per utilizzare la propria implementazione della scansione statica.
Configurazione di SonarQube utilizzando l'API
L'integrazione dello strumento SonarQube supporta i seguenti parametri di configurazione che puoi utilizzare con gli SDK e API HTTP della toolchain quando crei, leggie aggiorna le integrazioni dello strumento.
È necessario specificare la proprietà tool_type_id nel corpo della richiesta con il valore sonarqube.
| Parametro | Utilizzo | Immettere | Argomento Terraform | Descrizione |
|---|---|---|---|---|
| connessione cieca | facoltativo, aggiornabile, " Default: false |
Booleano | connessione cieca | Impostare su true per indicare a Continuous Delivery di ignorare la convalida della configurazione di questa integrazione. Inoltre, impostare su true se il server SonarQube non è indirizzabile su Internet pubblico. |
| dashboard_url | richiesto, aggiornabile | Stringa | url server | L'URL dei dashboar del server SonarQube per questa integrazione dello strumento. Nella IU grafica, il browser passa a questo dashboard quando fai clic sulla scheda di integrazione dello strumento SonarQube. |
| nome | richiesto, aggiornabile | Stringa | nome | Il nome di questa integrazione dello strumento. |
| utente_login | facoltativo, aggiornabile | Stringa | utente_login | L'ID per l'autenticazione con il server SonarQube. |
| password_utente | facoltativo, aggiornabile | Password | password_utente | La password o il token per l'autenticazione con il server SonarQube. È possibile utilizzare un riferimento ai segreti della toolchain per questo parametro. Per ulteriori informazioni sui riferimenti segreti, vedi Protezione dei tuoi dati sensibili in Continuous Delivery. |