SonarQubeの自動コードスキャン用インストールと統合方法

1. Findbugsプラグインをインストールする

Sonarには独自のデフォルトスキャンルールがあり、Findbugsプラグインをインストールすることでコードの脆弱性をスキャンする機能を強化することができます。

(1) 設定 - > App Market で Findbugs を検索し、インストールをクリックします。

品質設定において、FindBugs Security Auditをデフォルトに設定します。

(2)スキャン効果テスト

デフォルトのスキャンルールとFindBugs Security Auditのセットアップの比較。

2. IDEAとの連携

IDEAとSonarの連携により、開発中のコードに含まれるセキュリティ問題を自動検出することができます。

(1) オンラインインストール

IDEAのメニューから、ファイル → 設定 → プラグイン を開き、Sonarプラグインを検索して、インストールにSonarLintを選択し、IDEAを再起動すれば完了です。

(2) 基本的な使い方

IDEAにSonarLintプラグインをインストールすることで、解析対象のプロジェクトファイルの自動検出やプロジェクト全体の解析が可能になります。

3. Gitlabとの連携

SonarとGitlabを統合することで、コードをコミットした後にスキャン結果を自動的にメールでフィードバックすることを実現できます。

(1) プロジェクトのルートディレクトリに .gitlab-ci.yml ファイルを記述し、GitLab-Runner を介して Gitlab と Sonarqube の統合を実装します。

(2)コード投稿時に自動検出し、投稿者にレポートを送信する。

4. Jenkinsとの統合

SonarとJenkinsを統合することで、パイプラインで自動継続的コードスキャンを行うことができます。

(1) Jenkinsにおいて、Pipelineパイプラインを使用して、コードのPull、パッケージング、コードスキャンを実行する。

(2)パイプラインのビルドに成功しました。

以上、コードスキャンのインストールと統合を自動化するSonarQubeの詳細をご紹介しました。