SonarQube
SonarQube (бывший Sonar[1]) — платформа с открытым исходным кодом для непрерывного анализа (англ. continuous inspection) и измерения качества программного кода.
Поддерживает анализ кода и поиск ошибок согласно правилам стандартов программирования MISRA C, MISRA C++, MITRE/CWE и CERT Secure Coding Standards. Также распознаёт ошибки из списков OWASP Топ-10 и CWE/SANS Топ-25 ошибок программирования[2][3].
Несмотря на то, что платформа использует различные готовые инструменты, SonarQube сводит результаты к единой информационной панели (англ. dashboard), ведя историю прогонов и позволяя тем самым увидеть общую тенденцию изменения качества программного обеспечения в ходе разработки[4].
Что важно знать
| SonarQube | |
|---|---|
| Тип | Статический анализатор кода |
| Разработчик | SonarSource |
| Написана на | Java |
| Операционная система | Кроссплатформенное |
| Первый выпуск | 14 декабря 2007 |
| Аппаратная платформа | Java Virtual Machine |
| Последняя версия | 9.4 (апрель 2022) |
| Репозиторий | github.com/SonarSource/s… |
| Лицензия | GNU LGPLv3 |
| Сайт | sonarqube.org |
Принципы работы
SonarQube измеряет качество программного кода в соответствии с семью показателями (и соответствующими метриками) качества программного обеспечения, которые разработчики называют англ. Seven Axes of Quality[5]:
- Потенциальные ошибки
- Стиль программирования
- Тесты
- Повторения участков кода
- Комментарии
- Архитектура и проектирование
- Сложность
Таким образом, тесты оцениваются не только с точки зрения успешности исполнения, но и по тестовому покрытию исходного кода[6].
Во главу угла в SonarQube поставлено измерение качества в соответствии с концепцией технического долга (англ. technical debt), реализованное в виде плагина. Долг вычисляется в долларах и человеко-днях, а также по типам показателей, в процентах[7].
Возможности
SonarQube позволяет анализировать проекты, написанные на разных языках программирования, хотя для каждого делается свой анализ. Анализируемый язык необходимо указывать явным образом[8].
Открытая версия программы поддерживает следующие плагины[9]:
Для платной версии (Enterprise) доступны плагины[9]:
- ABAP (коммерческий плагин)
- C/C++ (коммерческий плагин)
- C#
- COBOL (коммерческий плагин)
- Delphi
- Flex / ActionScript
- Groovy
- Java
- JavaScript
- Objective-C (коммерческий плагин)
- PHP
- PL/I (коммерческий плагин)
- PL/SQL (коммерческий плагин)
- Python
- Swift (коммерческий плагин)
- VB.NET (коммерческий плагин)
- Visual Basic 6 (коммерческий плагин)
- Web
- XML
C 2016 года для открытой версии SonarQube появился плагин для языка 1С[10].
Примечания
Литература
- G. Ann Campbell, Patroklos P. Papapetrou. SonarQube in Action. — Manning Publications, 2013. — ISBN 9781617290954.
