제품 구성도

SonarQube는 SonarQube 서버, 데이터베이스, SonarQube 플러그인, SonarQube Scanner 총 4개의 컴포넌트로 구성됩니다.

분석 언어

SonarQube는 각 에디션 별로 분석 언어가 상이하며, Community Edition은 총 15개의 언어, Developer Edition은 총 22개의 언어, Enterprise Edition은 총 27개의 언어가 지원되며 각 언어는 다음과 같습니다.

주요 기능

• 프로젝트 기반 품질 측정

  • 프로젝트의 홈에서 품질 게이트, 버그, 취약성, 중복코드, 단위 테스팅
    정보를 한눈에 보여주며 현재 코드의 품질 측면에서 위치를 확인합니다.
  • 빌드와 통합을 통해 소스 코드 품질의 변화를 즉각적으로
    확인할 수 있습니다.
  

• Quality Gates

  • 품질 게이트(Quality Gate)를 통해 다양한 조직의 품질 요구사항을
    설정할 수 있습니다.
  • 복잡도, 커버리지, 중복, 보안성, 유지보수성, 사이즈, 신뢰성, 이슈 등
    다양한 항목에 대한 품질 요구사항을 설정합니다.
  

• Quality Profiles

  • SonarQube는 프로젝트 분석 시 사용되는 규칙(Rulesets)을
    정의할 수 있습니다.
  • 이 룰셋은 품질 프로파일로 구성되고 조직의 모든 구성원은
    프로젝트에 적용되는 규칙을 확인할 수 있습니다.

• 다중 언어의 Coding Rules

  • SonarQube는 Java, C/C++과 같은 인기있는 20개 이상의
    언어의 코딩 룰을 제공합니다
  • Checkstyle, Clover, Findbugs, PMD 등 다양한 외부 분석기에
    대한 플러그인을 지원합니다.

SonarQube 통합

• Build Systems과 통합

  • 표준 빌드 시스템과 강력하게 통합되어 Zero-Configuration을
    제공합니다.
  • Maven, MSBuild, Gradle, ANT와 같은 인기있는 빌드 시스템과
    무설정 혹은 약간의 설정으로 프로젝트를 빠르게 스캔할 수 있습니다.

• CI Engines과 통합

  • 빌드 시스템과 쉬운 통합은 CI 엔진과도 쉽게 통합됨을 의미합니다.
  • Bamboo, Travis CI, Jenkins, AppVeyor, Team Foundation Server,
    TeamCity와 같은 다양한 CI엔진에서 원클릭 만으로 SonarQube를
    연동할 수 있습니다.

• IDE와 통합

  • 개발자는 자신이 좋아하는 IDE에서 코드 품질에 대한 피드백을
    얻을 수 있습니다.
  • SonarLint는 이클립스, Intelli J, 비주얼 스튜디오, 비주얼 스튜디오
    코드, Atom과 같은 IDE에서 실시간으로 코드 품질에 대한 피드백을
    제공합니다.

• Web API와 Web Hook

  • SonarQube의 웹 API를 사용하여 SonarQube를 자동적으로
    프로비저닝하거나 BI에 원하는 데이터를 제공하거나 모니터링
    할 수 있습니다.
  • 표준 웹 훅(Webhook) 메커니즘을 사용하여 채팅방과 같은
    외부 시스템에 알림을 수행할 수 있습니다.

기대효과

• 지속적이고 빠른 품질 검사
  • 팀은 품질에 대한 지속적인 피드백을 얻고 확인 가능
  • 시간이 지남에 따라 명확한 품질 향상 그림 제공
  • 품질 결함 생성 시 즉각 알림
  • 개발자의 지속적인 교육과 선순환
• 개발팀의 품질 관심 확대
  • 품질 수행 계획은 개발 프로세스에 통합되어 개발팀의 관심을 확대
  • 소프트웨어 품질 정보에 실시간 액세스
  • 팀은 더 나은 소프트웨어를 개발할 수 있는 능력 확보 가능
• 품질 프로세스의 오너쉽
  • 코드 품질은 개발 팀의 소유
  • 소프트웨어 품질 도구가 조직 전역에 제공
  • 외부 컨설턴트 없이 즉시 이해 가능
  • 외부 컨설턴트 없이 즉시 이해 가능
• 조직 품질 요구사항 확보
  • 품질 판단은 객관적인 기준에 따라 자동화로 이뤄짐
  • 새로운 코드, 변경된 코드, 전체 코드 기반으로 소프트웨어 품질을 측정
  • 팀은 새로운 문제의 주입을 추적 가능

제품 개요

• 정적분석 시장점유율 1위(VDC Research 기준) – 빠른 분석속도, 높은 정탐률, 손쉬운 적용이 가능한 수정 가이드, 다양한 언어 지원
• 다양한 코딩규칙(MISRA C/C++, CERT C/C++, AUTOSAR), CWE, 소스코드 메트릭(HIS Metrics) 및 런타임 에러 검증 지원
• 결함이 발견된 경우, 개발자는 디버깅을 위해 시간을 낭비하지 않고 관련된 오류 수정 작업에 즉각적인 대처 가능

주요 기능 및 특장점

• 깊고 정확한 분석, 병렬 처리에 의한 빠른 분석, 폭 넓은 분석 스케일
• 심각성과 영향도에 따른 우선순위 제공 및 필터링
• 결함에 대한 정확한 원인 경로 제시
• 결함을 CWE와 매핑하여 수정 가이드 제공
• MISRA C 2004 / MISRA C++ 2008 / MISRA C 2012 / HIS Metrics / Cert-C/C++, AUTOSAR 체크
• 600개 이상의 오픈 소스(Linux, Hadoop, Python, NTLR, PHP 등) 프로젝트에서 사용
• 다양한 언어 지원 : C/C++, C#, Java, JavaScript, .NET Core, ASP.NET, VB.NET, Object-C, PHP, Python, JSP, Go, Ruby, Swift, TypeScript, Scala, etc.

기대효과

• 심각한 오류와 취약성 검토
  • 치명적인 버그 및 보안 취약점을 탐지하고, 위험성에 따른 우선순위 제시
  • 오류를 효과적으로 찾아내고 수정할 수 있도록 지원
• 모듈간 흐름 분석
  • SW 규모에 상관없이, 모든 Class, 함수, 파일의 상관관계 및 호출 경로 추적
  • 사람이 찾아낼 수 없는 오류를 찾아 낼 수 있음
• 업계 최고의 호환성
  • 개발자들이 사용하는 다양한 언어, 컴파일러, 개발환경 지원 및 국제 보안, 품질 표준 준수를 위한 기능 제공
  • 폭 넓은 호환성으로 고객의 광범위한 프로젝트 지원
• 쉽고 간편한 통합 환경 제공
  • 분석, 통지, 보고 등 개발 프로세스 자동화
  • 고객의 요구와 환경에 맞추어서 폭 넓은 SDLC 자동화 제공