Giới thiệu tổng quan về 🧪 SonarQube

🔥 Vài nét về `SonarQube`

SonarQube là 1 nền tảng open-source đảm bảo chất lượng code được phát triển bởi công ty SonarSource bằng Java.

Phải nói thêm rằng tất cả các thành phần liên quan đến nền tảng này đều được opensource tại đây. Còn đây là Repo source-code (src) của chính SonarQube trên Github.

SonarQube được chạy tự động thường trong CI/CD, dựa trên kỹ thuật Static program analysis - phân tích code mà không phải thực sự chạy code. Kỹ thuật này tương tự như các linter: eslint, stylelint, pylint...

Tuy nhiên sự khác biệt ở đây là SonarQube có rules riêng focus vào tìm bugs, lỗ hổng bảo mật chứ không riêng gì các linter để đảm bảo chất lượng code. Hơn nữa nó có web và các công cụ để dễ dàng tích hợp với CI/CD hơn là các linter.

Ví dụ các rule dành cho TypeScripts được mô tả tại đây.

🌲 Các chỉ số cấu thành nên chất lượng code

Reliability - độ tin cậy
Security - bảo mật
Maintainability ( Code Smells ) - khả năng bảo trì
Coverage - độ phủ của Unit test (UT) hay code UT đã chạy qua bao nhiêu % lượng src và branches logic của dự án rồi.
Duplications - mức độ lặp của code
Size - dự án có khoảng bao nhiêu dòng

SonarQube cung cấp cho người quản lý 1 web để xem được các chỉ số và các đánh giá chi tiết về chât lượng.

👨‍💻 Development process

Develop với editor cài sonarlint
Khi push src lên repo thì builds src, runs unit tests và tích hợp với SonarQube scanner để cho ra báo cáo kết quả.
SonarQube scanner gửi kết quả đó về cho developers thông qua:

web của SonarQube
webhooks
IDE notifications (thông qua SonarLint) - Ví dụ ta setup cho SonarLint trên vscode connect tới SonarQube >= 6.7 hoặc SonarCloud theo các bước tại đây - phần Connected mode.
công cụ quản lý src (ví dụ Bitbucket) thông qua pull/merge requests.

Sau đó quay về bước 1, vòng lặp được tiếp tục.

📚 Support Languages

Danh sách các ngôn ngữ được hỗ trợ được liệt kê tại đây.

SonarQube ngoài rules mà nó tự có thì ta có thể import các linter - công cụ phân tích code của bên thứ 3 như ESLint, pylint, golangci-lint...

Ví dụ đối với dự án Frontend thì có thể sử dụng:

JavaScript / TypeScript:
- Dựa vào công cụ SonarJS để phân tích
  - Bao gồm ~250 rules for JavaScript và ~240 rules for TypeScript
- Ngoài ra Sonar cũng có plugin dành cho eslint, được opensource tại đây
- Ta có thể custom rule hay tạo ra rule của riêng mình theo các bước như khi custom rule của eslint tại đây
- Đối với TypeScript ta cũng dùng thông qua TypeScript ESLint
- Về cá rule riêng của các Framework thì ta thêm vào Sonar thông qua eslint ví dụ:
CSS:
- support CSS, SCSS, Less
- support phần style trong PHP, HTML and VueJS (rất tiếc là trong docs chưa có nhắc tới Angular 😅)
- Tuy nhiên, nếu dùng custom CSS Rules hay import stylelint ta phải disable rules mặc định này đi
HTML

💫 CI/CD

Tương thích với các ứng dụng quản lý src:

Bitbucket
Github
Azure DevOps
GitLab

Ví dụ nếu tích hợp với Bitbucket thì ta có thể nhìn thấy báo cáo các chỉ số của 1 branch, cảnh báo đỏ hiện lên ngay bên cạnh src khi review 1 pull request.

Ví dụ hiển thị tên lỗi hay thông báo Not covered by unit tests khi hover vào vùng code có vấn đề:

Screenshot from bitbucket.png

Pull requests SonarQube Quality Gate status:

SonarQube Quality Gate status.png

Ví dụ tích hợp với Pull Requests:

(ảnh công khai tại SonarQube for visualstudio extention)

Khi review code, các comment của người review chưa được giải quyết thì Quality Gate failed:

(ảnh công khai tại SonarQube for visualstudio extention)

Tương thích với các CI/CD platform/tool:

Jenkins: SonarScanners chạy trên Jenkins có thể tự động detect branches, Merge hoặc Pull Requests.
Azure DevOps: SonarScanner for Azure DevOps được tích hợp trong build pipeline, gồm báo cáo trong bước build và Quality Gate sẽ có nhiệm vụ cho ra kết quả Pass hay Fail.