CE-LP7 Análise Estática de Código Fonte com SonarQube

É uma técnica que avalia o código-fonte sem executá-lo, identificando possíveis erros, vulnerabilidades, más práticas e violações de padrões de codificação.

Detectar bugs e vulnerabilidades de segurança, garantir a manutenibilidade e legibilidade do código, e aplicar boas práticas e padrões de desenvolvimento.

O SonarQube é uma plataforma de código aberto para inspeção contínua da qualidade do código, suportando várias linguagens de programação e integrando-se a pipelines de CI/CD.

Identificação de bugs, vulnerabilidades e code smells, cobertura de testes, duplicação de código, métricas de complexidade e dívida técnica.

Java 11+, um banco de dados (PostgreSQL, MySQL, Oracle, ou Microsoft SQL Server), e o SonarQube Server.

Baixe e extraia o SonarQube, configure o banco de dados em conf/sonar.properties, inicie o servidor e acesse via navegador em http://localhost:9000.

O SonarScanner é uma ferramenta que envia o código para análise no SonarQube.

Defina sonar.projectKey, sonar.projectName, sonar.projectVersion, sonar.sources, sonar.language, e sonar.sourceEncoding.

Inclui bugs, vulnerabilidades, code smells, cobertura de testes, e duplicação de código.

Pode ser integrado com Jenkins, GitHub Actions, e Azure DevOps usando plugins e tarefas específicas.