SonarQube - 코드 품질 관리 플랫폼
TL;DR
- SonarQube, SonarCloud, SonarLint, 정적 분석, Static Analysis, 코드 스멜, Code Smell, Quality Gate, 기술 부채, Technical Debt, 코드 품질, SAST, 코드 커버리지
- SonarQube - 코드 품질 관리 플랫폼를 알아두면 설계 판단과 구현 선택을 더 분명하게 할 수 있다.
- 원문 전체는 아래 상세 내용에 그대로 포함했다.
1. 개념
SonarQube, SonarCloud, SonarLint, 정적 분석, Static Analysis, 코드 스멜, Code Smell, Quality Gate, 기술 부채, Technical Debt, 코드 품질, SAST, 코드 커버리지
2. 배경
SonarQube - 코드 품질 관리 플랫폼가 등장한 배경과 문제 상황을 이해하는 데 도움이 된다.
3. 이유
SonarQube - 코드 품질 관리 플랫폼를 알아두면 설계 판단과 구현 선택을 더 분명하게 할 수 있다.
4. 특징
SonarQube - 코드 품질 관리 플랫폼의 특징, 장단점, 적용 포인트를 원문에서 자세히 확인할 수 있다.
5. 상세 내용
SonarQube - 코드 품질 관리 플랫폼
1. SonarQube란?
┌─────────────────────────────────────────────────────────────┐
│ │
│ SonarQube = 코드 품질 및 보안 분석 플랫폼 │
│ │
│ "코드 리뷰를 자동화하는 도구" │
│ │
│ 탄생: 2007년 (프랑스 SonarSource 개발) │
│ 원래 이름: Sonar → SonarQube로 변경 (2013) │
│ │
│ 핵심 기능: │
│ ├── 정적 코드 분석 (Static Analysis) │
│ ├── 버그 탐지 │
│ ├── 코드 스멜 (Code Smell) 감지 │
│ ├── 보안 취약점 탐지 │
│ ├── 코드 커버리지 시각화 │
│ └── 기술 부채 (Technical Debt) 측정 │
│ │
└─────────────────────────────────────────────────────────────┘
2. 왜 SonarQube가 필요한가? (배경)
┌─────────────────────────────────────────────────────────────┐
│ │
│ 코드 리뷰의 문제점: │
│ │
│ ┌─────────────────────────────────────────────────────┐ │
│ │ │ │
│ │ 사람이 하는 코드 리뷰: │ │
│ │ ├── 시간이 오래 걸림 │ │
│ │ ├── 일관성 없음 (사람마다 기준 다름) │ │
│ │ ├── 반복적인 실수 계속 발생 │ │
│ │ ├── 보안 취약점 놓치기 쉬움 │ │
│ │ └── 대규모 코드베이스에서 한계 │ │
│ │ │ │
│ └─────────────────────────────────────────────────────┘ │
│ │
│ SonarQube 도입 후: │
│ │
│ ┌─────────────────────────────────────────────────────┐ │
│ │ │ │
│ │ 자동화된 코드 분석: │ │
│ │ ├── CI/CD에서 자동 실행 │ │
│ │ ├── 일관된 기준 적용 │ │
│ │ ├── 보안 취약점 자동 탐지 │ │
│ │ ├── 기술 부채 정량화 │ │
│ │ └── 사람은 비즈니스 로직 리뷰에 집중 │ │
│ │ │ │
│ └─────────────────────────────────────────────────────┘ │
│ │
└─────────────────────────────────────────────────────────────┘
3. SonarQube 역사
┌─────────────────────────────────────────────────────────────┐
│ │
│ 2007년: Sonar 탄생 (프랑스 SonarSource) │
│ ├── 오픈소스 Java 코드 분석 도구로 시작 │
│ └── 당시 PMD, FindBugs, Checkstyle 통합 │
│ │
│ 2010년대 초: 다중 언어 지원 │
│ ├── C#, JavaScript, Python 등 확장 │
│ └── 플러그인 생태계 성장 │
│ │
│ 2013년: Sonar → SonarQube로 리브랜딩 │
│ │
│ 2017년: SonarCloud 출시 │
│ └── SaaS 버전 (클라우드 호스팅) │
│ │
│ 2020년대: 보안 분석 강화 │
│ ├── SAST (Static Application Security Testing) 강화 │
│ ├── OWASP Top 10 탐지 │
│ └── 30+ 언어 지원 │
│ │
│ 현재 위치: │
│ ├── 코드 품질 분석 도구의 사실상 표준 │
│ ├── 40만+ 조직에서 사용 │
│ └── GitHub, GitLab, Azure DevOps 등과 통합 │
│ │
└─────────────────────────────────────────────────────────────┘
4. 핵심 개념: 4가지 탐지 대상
┌─────────────────────────────────────────────────────────────┐
│ │
│ SonarQube가 탐지하는 4가지: │
│ │
│ 1. 🐛 버그 (Bug) │
│ └── 런타임 오류를 유발할 수 있는 코드 │
│ └── 예: null 참조, 무한 루프, 리소스 누수 │
│ │
│ 2. 🔓 취약점 (Vulnerability) │
│ └── 보안 공격에 노출될 수 있는 코드 │
│ └── 예: SQL 인젝션, XSS, 하드코딩된 비밀번호 │
│ │
│ 3. 👃 코드 스멜 (Code Smell) │
│ └── 동작하지만 유지보수하기 어려운 코드 │
│ └── 예: 중복 코드, 너무 긴 메서드, 복잡한 조건문 │
│ │
│ 4. 🔒 보안 핫스팟 (Security Hotspot) │
│ └── 보안 검토가 필요한 코드 (취약점일 수도 아닐 수도) │
│ └── 예: 암호화 사용, 인증 처리, 파일 접근 │
│ │
└─────────────────────────────────────────────────────────────┘
코드 스멜 예시
# ❌ 코드 스멜: 너무 긴 메서드 (Cognitive Complexity 높음)
def process_order(order):
if order.status == "pending":
if order.payment:
if order.payment.verified:
if order.items:
for item in order.items:
if item.stock > 0:
# ... 100줄 더 ...
pass
# ✓ 리팩토링: 메서드 분리
def process_order(order):
if not is_valid_order(order):
return
verify_payment(order)
process_items(order)
complete_order(order)
5. 품질 게이트 (Quality Gate)
┌─────────────────────────────────────────────────────────────┐
│ │
│ Quality Gate = 코드가 통과해야 하는 품질 기준 │
│ │
│ ┌─────────────────────────────────────────────────────┐ │
│ │ │ │
│ │ 기본 Quality Gate 예시: │ │
│ │ │ │
│ │ ✓ 새 코드 커버리지 ≥ 80% │ │
│ │ ✓ 새 버그 = 0 │ │
│ │ ✓ 새 취약점 = 0 │ │
│ │ ✓ 새 코드 스멜 ≤ A등급 │ │
│ │ ✓ 중복 코드 ≤ 3% │ │
│ │ │ │
│ │ 모두 통과 → ✅ Quality Gate Passed │ │
│ │ 하나라도 실패 → ❌ Quality Gate Failed │ │
│ │ │ │
│ └─────────────────────────────────────────────────────┘ │
│ │
│ CI/CD 연동: │
│ ├── Quality Gate 실패 → PR 머지 차단 │
│ ├── 품질 기준 미달 코드가 main에 들어가는 것 방지 │
│ └── "Clean as You Code" 철학 │
│ │
└─────────────────────────────────────────────────────────────┘
6. 아키텍처
┌─────────────────────────────────────────────────────────────┐
│ │
│ SonarQube 아키텍처 │
│ │
│ ┌─────────────────────────────────────────────────────┐ │
│ │ 개발자 PC │ │
│ │ ┌─────────────┐ ┌───────────────────────────┐ │ │
│ │ │ IDE │ │ CI/CD Server │ │ │
│ │ │ (SonarLint)│ │ (Jenkins, GitLab CI) │ │ │
│ │ └──────┬──────┘ └─────────────┬─────────────┘ │ │
│ └─────────┼──────────────────────────┼────────────────┘ │
│ │ │ │
│ │ ▼ │
│ │ ┌──────────────────────────┐ │
│ │ │ SonarQube Scanner │ │
│ │ │ (코드 분석 실행) │ │
│ │ └───────────┬──────────────┘ │
│ │ │ │
│ │ ▼ │
│ │ ┌──────────────────────────┐ │
│ │ │ SonarQube Server │ │
│ │ │ ┌────────────────────┐ │ │
│ │ │ │ Compute Engine │ │ │
│ │ │ │ (분석 처리) │ │ │
│ │ │ └────────────────────┘ │ │
│ │ │ ┌────────────────────┐ │ │
│ └─────────┼─►│ Web Server │ │ │
│ │ │ (대시보드 UI) │ │ │
│ │ └────────────────────┘ │ │
│ │ ┌────────────────────┐ │ │
│ │ │ Database │ │ │
│ │ │ (PostgreSQL) │ │ │
│ │ └────────────────────┘ │ │
│ └──────────────────────────┘ │
│ │
│ 구성요소: │
│ ├── Scanner: 코드 분석 실행 (CI/CD에서 실행) │
│ ├── Server: 분석 결과 저장/시각화 │
│ ├── Compute Engine: 백그라운드 분석 처리 │
│ └── Database: 분석 결과 저장 │
│ │
└─────────────────────────────────────────────────────────────┘
7. CI/CD 통합
GitLab CI 예시
# .gitlab-ci.yml
stages:
- test
- sonarqube
sonarqube-check:
stage: sonarqube
image: sonarsource/sonar-scanner-cli:latest
variables:
SONAR_USER_HOME: "${CI_PROJECT_DIR}/.sonar"
GIT_DEPTH: "0" # 전체 히스토리 필요
script:
- sonar-scanner
-Dsonar.projectKey=my-project
-Dsonar.host.url=${SONAR_HOST_URL}
-Dsonar.token=${SONAR_TOKEN}
-Dsonar.qualitygate.wait=true # Quality Gate 결과 대기
allow_failure: false # 실패 시 파이프라인 중단
Jenkins Pipeline 예시
pipeline {
agent any
stages {
stage('Build') {
steps {
sh './gradlew build'
}
}
stage('SonarQube Analysis') {
steps {
withSonarQubeEnv('SonarQube') {
sh './gradlew sonarqube'
}
}
}
stage('Quality Gate') {
steps {
timeout(time: 5, unit: 'MINUTES') {
waitForQualityGate abortPipeline: true
}
}
}
}
}
GitHub Actions 예시
# .github/workflows/sonarqube.yml
name: SonarQube Analysis
on:
push:
branches: [ main ]
pull_request:
branches: [ main ]
jobs:
sonarqube:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
with:
fetch-depth: 0 # 전체 히스토리 필요
- name: SonarQube Scan
uses: sonarsource/sonarqube-scan-action@master
env:
SONAR_TOKEN: $
SONAR_HOST_URL: $
- name: SonarQube Quality Gate
uses: sonarsource/sonarqube-quality-gate-action@master
timeout-minutes: 5
env:
SONAR_TOKEN: $
8. 프로젝트 설정 파일
# sonar-project.properties
# 프로젝트 식별
sonar.projectKey=my-company:my-project
sonar.projectName=My Project
sonar.projectVersion=1.0
# 소스 코드 경로
sonar.sources=src/main
sonar.tests=src/test
# 언어별 설정
sonar.java.binaries=build/classes
sonar.python.version=3.12
# 제외 패턴
sonar.exclusions=**/node_modules/**,**/*.test.ts,**/migrations/**
# 테스트 커버리지 리포트
sonar.coverage.jacoco.xmlReportPaths=build/reports/jacoco/test/jacocoTestReport.xml
sonar.python.coverage.reportPaths=coverage.xml
# 인코딩
sonar.sourceEncoding=UTF-8
9. SonarLint (IDE 플러그인)
┌─────────────────────────────────────────────────────────────┐
│ │
│ SonarLint = IDE에서 실시간으로 코드 분석 │
│ │
│ 특징: │
│ ├── 코드 작성 중 즉시 피드백 │
│ ├── 커밋 전에 문제 발견 │
│ ├── SonarQube 서버와 규칙 동기화 가능 │
│ └── 무료! │
│ │
│ 지원 IDE: │
│ ├── IntelliJ IDEA │
│ ├── VS Code │
│ ├── Eclipse │
│ └── Visual Studio │
│ │
│ ───────────────────────────────────────────────────────── │
│ │
│ 워크플로우: │
│ │
│ 1. 개발자가 코드 작성 │
│ 2. SonarLint가 실시간 분석 → "여기 버그 있어요!" │
│ 3. 개발자가 즉시 수정 │
│ 4. 커밋/푸시 │
│ 5. CI에서 SonarQube 분석 → 이미 깨끗! │
│ │
│ = "Shift Left" (문제를 개발 초기에 발견) │
│ │
└─────────────────────────────────────────────────────────────┘
10. SonarQube vs SonarCloud
┌──────────────────────────────────────────────────────────────────────────┐
│ │
│ ┌────────────────┬─────────────────────┬─────────────────────┐ │
│ │ │ SonarQube │ SonarCloud │ │
│ ├────────────────┼─────────────────────┼─────────────────────┤ │
│ │ 호스팅 │ 자체 서버 (On-Prem) │ SaaS (클라우드) │ │
│ ├────────────────┼─────────────────────┼─────────────────────┤ │
│ │ 설치/관리 │ 직접 해야 함 │ 필요 없음 │ │
│ ├────────────────┼─────────────────────┼─────────────────────┤ │
│ │ 비용 │ Community 무료 │ 오픈소스 무료 │ │
│ │ │ 상용 유료 │ Private 유료 │ │
│ ├────────────────┼─────────────────────┼─────────────────────┤ │
│ │ 적합한 경우 │ 기업 내부, 보안 중시│ 오픈소스, 스타트업 │ │
│ │ │ 커스터마이징 필요 │ 빠른 시작 │ │
│ ├────────────────┼─────────────────────┼─────────────────────┤ │
│ │ GitHub 통합 │ 가능 │ 네이티브 통합 │ │
│ └────────────────┴─────────────────────┴─────────────────────┘ │
│ │
│ 선택 가이드: │
│ ├── 오픈소스 프로젝트 → SonarCloud (무료) │
│ ├── 스타트업 → SonarCloud (관리 부담 없음) │
│ ├── 대기업, 보안 민감 → SonarQube (자체 서버) │
│ └── 커스텀 규칙 필요 → SonarQube │
│ │
└──────────────────────────────────────────────────────────────────────────┘
11. 지원 언어
┌─────────────────────────────────────────────────────────────┐
│ │
│ SonarQube 지원 언어 (30+): │
│ │
│ 주요 언어: │
│ ├── Java, Kotlin, Scala │
│ ├── JavaScript, TypeScript │
│ ├── Python │
│ ├── C, C++, Objective-C │
│ ├── C#, VB.NET │
│ ├── Go │
│ ├── Ruby, PHP, Swift │
│ └── Rust (플러그인) │
│ │
│ 웹/마크업: │
│ ├── HTML, CSS │
│ ├── XML, JSON, YAML │
│ └── SQL │
│ │
│ 인프라: │
│ ├── Terraform │
│ ├── CloudFormation │
│ └── Kubernetes YAML │
│ │
└─────────────────────────────────────────────────────────────┘
12. 대시보드 주요 지표
┌─────────────────────────────────────────────────────────────┐
│ │
│ SonarQube 대시보드 주요 지표: │
│ │
│ 1. Reliability (신뢰성) - 버그 관련 │
│ └── A~E 등급 (A가 최고) │
│ │
│ 2. Security (보안) - 취약점 관련 │
│ └── A~E 등급 │
│ │
│ 3. Maintainability (유지보수성) - 코드 스멜 관련 │
│ └── A~E 등급 │
│ │
│ 4. Coverage (커버리지) - 테스트 커버리지 │
│ └── 0~100% │
│ │
│ 5. Duplications (중복) - 중복 코드 비율 │
│ └── 0~100% (낮을수록 좋음) │
│ │
│ 6. Technical Debt (기술 부채) │
│ └── 문제 해결에 필요한 예상 시간 │
│ └── 예: "3일 2시간" │
│ │
└─────────────────────────────────────────────────────────────┘
13. Docker로 SonarQube 설치
# docker-compose.yml
version: "3"
services:
sonarqube:
image: sonarqube:community
container_name: sonarqube
depends_on:
- db
environment:
SONAR_JDBC_URL: jdbc:postgresql://db:5432/sonar
SONAR_JDBC_USERNAME: sonar
SONAR_JDBC_PASSWORD: sonar
volumes:
- sonarqube_data:/opt/sonarqube/data
- sonarqube_extensions:/opt/sonarqube/extensions
- sonarqube_logs:/opt/sonarqube/logs
ports:
- "9000:9000"
db:
image: postgres:15
container_name: sonarqube_db
environment:
POSTGRES_USER: sonar
POSTGRES_PASSWORD: sonar
POSTGRES_DB: sonar
volumes:
- postgresql_data:/var/lib/postgresql/data
volumes:
sonarqube_data:
sonarqube_extensions:
sonarqube_logs:
postgresql_data:
# 실행
docker-compose up -d
# 접속: http://localhost:9000
# 초기 로그인: admin / admin
14. Clean as You Code 철학
┌─────────────────────────────────────────────────────────────┐
│ │
│ "Clean as You Code" = SonarQube의 핵심 철학 │
│ │
│ 기존 접근법 (Big Bang): │
│ ┌─────────────────────────────────────────────────────┐ │
│ │ "전체 코드베이스의 모든 문제를 한 번에 고치자!" │ │
│ │ → 너무 많음 → 포기 → 품질 방치 │ │
│ └─────────────────────────────────────────────────────┘ │
│ │
│ Clean as You Code: │
│ ┌─────────────────────────────────────────────────────┐ │
│ │ "새로 작성하는 코드만 깨끗하게!" │ │
│ │ │ │
│ │ 1. 새 코드에만 Quality Gate 적용 │ │
│ │ 2. 기존 코드는 건드리지 않음 │ │
│ │ 3. 시간이 지나면서 전체 품질 자연스럽게 향상 │ │
│ │ │ │
│ │ 장점: │ │
│ │ ├── 부담 없이 시작 가능 │ │
│ │ ├── 점진적 개선 │ │
│ │ └── 지속 가능한 품질 관리 │ │
│ └─────────────────────────────────────────────────────┘ │
│ │
└─────────────────────────────────────────────────────────────┘
15. 정리
┌─────────────────────────────────────────────────────────────┐
│ │
│ SonarQube 핵심 요약: │
│ │
│ 1. 무엇? = 코드 품질/보안 자동 분석 플랫폼 │
│ │
│ 2. 탐지 대상: │
│ ├── 🐛 버그 │
│ ├── 🔓 취약점 │
│ ├── 👃 코드 스멜 │
│ └── 🔒 보안 핫스팟 │
│ │
│ 3. Quality Gate = 코드 품질 통과 기준 │
│ └── CI/CD에서 실패 시 머지 차단 │
│ │
│ 4. SonarLint = IDE 실시간 분석 (Shift Left) │
│ │
│ 5. 선택: │
│ ├── SonarQube: 자체 서버, 기업용 │
│ └── SonarCloud: SaaS, 오픈소스/스타트업 │
│ │
│ 6. 30+ 언어 지원 │
│ │
│ 7. "Clean as You Code" = 새 코드만 깨끗하게 │
│ │
│ 비유: 코드의 "건강검진" - 문제를 조기에 발견 │
│ │
└─────────────────────────────────────────────────────────────┘
관련 키워드
SonarQube, SonarCloud, SonarLint, 정적 분석, Static Analysis, 코드 스멜, Code Smell, Quality Gate, 기술 부채, Technical Debt, 코드 품질, SAST, 코드 커버리지