SonarQubeでコード品質を向上させる方法：導入から分析まで

SonarQubeは、コード内のバグや脆弱性を分析することにより、コード品質とセキュリティを維持するのに役立つ強力なオープンソースツールです。CI/CDパイプラインに統合することで、非常に重要な役割を果たすことができます。

この記事では、SonarQubeの導入から最初のコード分析の実行まで、ステップバイステップで解説します。

SonarQubeとは？コード品質を継続的にチェックするツール

SonarQubeは、オープンソースのコード品質分析ツールです。重複、悪質なコーディングプラクティス、テストカバレッジのギャップ、バグ、脆弱性などの問題を検出し、詳細なレポートを提供します。Java、C#、JavaScript、Python、TypeScript、Kotlinなどの多くのプログラミング言語をサポートしています。

CI/CDパイプライン、IDE、GitHub、GitLab、Bitbucketなどのバージョン管理システムにSonarQubeを追加できます。ダッシュボードには、コードのメトリクス、傾向、および問題が表示されます。

SonarQubeのメリット：コード品質向上のための6つのポイント

SonarQubeは、以下の点でコード品質の向上に役立ちます。

• 早期のバグ検出: 本番環境に到達する前にバグを特定します。
• 保守性の向上: コードと設計の問題を強調表示します。
• セキュリティの洞察: 脆弱性とセキュリティリスクを特定します。
• コードカバレッジ: テストツールとの統合により、ユニットテストのカバレッジを監視します。
• カスタマイズ可能なルール: コーディング標準とポリシーを設定できます。
• チームコラボレーション: 開発チーム全体で一貫したコード品質を保証します。

SonarQubeのインストールと設定：ステップバイステップガイド

SonarQubeをローカルマシンにインストールする手順を説明します。

前提条件:

• Java Runtime Environment（JRE）：Java 11以降がシステムにインストールされている必要があります。
• システム要件：最小2GBのRAM（推奨：4GB +）。

インストール手順:

1. SonarQubeのダウンロード: SonarSource downloadsからソフトウェアをダウンロードし、オープンソースプロジェクト用のCommunity Editionを選択します。

2. 展開と設定: ダウンロードしたファイルを解凍します。

   unzip sonarqube-<version>.zip
   cd sonarqube-<version>/bin/<your-OS-folder>
   

   Copy

3. SonarQubeの起動:

   • Linux/Macの場合：

     ./sonar.sh start
     

     Copy

   • Windowsの場合：

     StartSonar.bat
     

     Copy

4. SonarQubeへのアクセス: ブラウザを開き、http://localhost:9000にアクセスします。

5. ログイン: デフォルトの認証情報を使用します。

   • ユーザー名：admin
   • パスワード：admin（変更を求められます）

プロジェクトへのSonarQube設定：sonar-project.propertiesファイル

プロジェクトにSonarQubeを設定するには、プロジェクトルートに sonar-project.properties ファイルを作成します。

sonar.projectKey=spring-myproject
sonar.projectName=My Project
sonar.projectVersion=1.0
sonar.sources=.
sonar.host.url=http://localhost:9000

初めてのコード分析：SonarScannerの設定と実行

SonarScannerは、コードをSonarQubeに送信して分析するツールです。

SonarScannerのインストール:

• Windows/Linuxの場合：SonarSourceからソフトウェアをダウンロードして解凍します。

  unzip sonar-scanner-cli-<version>.zip
  

  Copy

• MacOSの場合：

  >brew install sonar-scanner
  

  Copy

インストール確認:

>sonar-scanner -v

SonarScanner設定:

1. SonarQubeサーバーのURLと認証トークンを設定します。

2. SonarQubeプロファイル（右上隅>マイアカウント>セキュリティ）に移動し、トークンを生成します。

   

3. sonar-project.propertiesファイルに sonar.login プロパティを追加して保存します。

   sonar.projectKey=test-project
   sonar.projectName=Test Project
   sonar.host.url=http://localhost:9000
   sonar.login=<YOUR_TOKEN_HERE>
   

   Copy

分析の実行:

1. ターミナルまたはコマンドプロンプトで、プロジェクトのルートディレクトリ（sonar-project.properties がある場所）に移動します。

2. 次のコマンドを実行します。

   >sonar-scanner
   

   Copy

SonarScannerがコードを分析し、結果をローカルのSonarQubeサーバーにプッシュします。http://localhost:9000にアクセスすると、ダッシュボードにプロジェクトが表示されます。

分析レポートの確認とコード品質の改善

http://localhost:9000/dashboard?id=java-sonar-demoで分析レポートを確認できます。「Issues」タブをクリックすると、コードのさまざまなソフトウェア品質、問題の重大度、およびその他の属性を確認できます。

まとめ：SonarQubeで継続的なコード品質分析を

SonarQubeのインストールと設定、および SonarScannerを使用したコードのスキャン方法を学びました。プロジェクトに簡単に設定して、継続的なコード品質分析を行うことができます。

これは、コードベースをクリーンで保守しやすい状態に保つための優れたツールです。次のステップとして、テストカバレッジレポートの追加、パイプラインでの品質ゲートの適用、およびクラウドベースの分析のためのSonarCloudの検討をお勧めします。