SonarQube

SonarQube (бывший Sonar^[1]) — платформа с открытым исходным кодом для непрерывного анализа (англ. continuous inspection) и измерения качества программного кода (англ. Continuous Code Inspection).

SonarQube
Интерфейс версии 10+
Тип	Статический анализатор кода
Разработчик	SonarSource
Написана на	Java
Операционная система	Кроссплатформенное
Первый выпуск	14 декабря 2007
Аппаратная платформа	Java Virtual Machine
Последняя версия	10.2.1.78527 (сентябрь 2023; 1 год назад (2023-09))
Репозиторий	github.com/SonarSource/s…
Лицензия	GNU LGPLv3
Сайт	sonarqube.org
Медиафайлы на Викискладе

Поддерживает анализ кода и поиск ошибок согласно правилам стандартов программирования MISRA C, MISRA C++, MITRE/CWE и CERT Secure Coding Standards. Также распознаёт ошибки из списков OWASP Топ-10 и CWE/SANS Топ-25 ошибок программирования^[2][3].

Несмотря на то, что платформа использует различные готовые инструменты, SonarQube сводит результаты к единой информационной панели (англ. dashboard), ведя историю прогонов и позволяя тем самым увидеть общую тенденцию изменения качества программного обеспечения в ходе разработки^[4].

Принципы работы

SonarQube измеряет качество программного кода в соответствии с семью показателями (и соответствующими метриками) качества программного обеспечения, которые разработчики называют "Семью осями качества" (англ. Seven Axes of Quality)^[5]:

• потенциальные ошибки;
• стиль программирования;
• тесты;
• повторения участков кода;
• комментарии;
• архитектура и проектирование;
• сложность.

Таким образом, тесты оцениваются не только с точки зрения успешности исполнения, но и по тестовому покрытию исходного кода^[6].

Во главу угла в SonarQube поставлено измерение качества в соответствии с концепцией технического долга (англ. technical debt), реализованное в виде плагина. Долг вычисляется в долларах и человеко-днях, а также по типам показателей, в процентах^[7].

Возможности

SonarQube позволяет анализировать проекты, написанные на разных языках программирования, хотя для каждого делается свой анализ. Анализируемый язык необходимо указывать явным образом^[8].

Бесплатная версия программы поддерживает различные языки программирования, сценариев или разметки: Java, C Sharp, JavaScript/TypeScript, AWS CloudFormation, Terraform, Docker, Kubernetes, Kotlin, Ruby, Go, Scala, Flex, Python, PHP, HTML, CSS, XML, Visual Basic .NET^[9]. Версия для разработчиков дополнительно поддерживает C, C++, Objective-C, Swift, ABAP, Transact-SQL и PL/SQL^[10]. Корпоративная версия отличается поддержкой Cobol, PL/I, Apex, RPG и Visual Basic 6^[11].