# SonarQube

##### Descripción

[SonarQube ](https://www.sonarsource.com/products/sonarqube/)es una herramienta de análisis estático de código para detectar bugs, vulnerabilidades, y code smells en más de 25 lenguajes.

##### Uso local

```
# Análisis local con CLI
sonar-scanner -Dsonar.projectKey=myproject -Dsonar.sources=. -Dsonar.host.url=http://localhost:9000

```

##### Reportes

- Interfaz web con dashboards.
- Muestra cobertura de código, vulnerabilidades, duplicaciones, etc.

##### Integración en CI/CD

- Plugins para [GitHub Actions](https://github.com/SonarSource/sonarqube-scan-action).
- DevSecOps: integración con calidad de código.

```
    - name: SonarQube Scan
      uses: SonarSource/sonarqube-scan-action@<action version> # Ex: v4.1.0, See the latest version at https://github.com/marketplace/actions/official-sonarqube-scan
      env:
        SONAR_TOKEN: ${{ secrets.SONAR_TOKEN }}
        SONAR_HOST_URL: ${{ vars.SONAR_HOST_URL }}
```

##### Integraciones

- [GitHub](https://docs.sonarsource.com/sonarqube-server/10.5/devops-platform-integration/github-integration/adding-sonarqube-analysis-to-your-workflow/#:~:text=Actions%20Checkout%20README%20.-,Failing%20the%20workflow%20when%20the%20quality%20gate%20fails,The%20default%20is%20300%20seconds.).
- [Jira:](https://marketplace.atlassian.com/apps/1217471/sonarqube-connector-for-jira) integraciones para crear tickets automáticamente.
- [Slack](https://knowledge.digicert.com/constellix/sonar-monitoring/slack-integration#:~:text=Before%20you%20configure%20Slack%20Integration,8.), [Microsoft Teams:](https://github.com/toilatester/sonar-microsoft-teams-notifier) plugins para notificaciones.
- VSCode: [extensión oficial.](https://docs.sonarsource.com/sonarqube-for-ide/vs-code/getting-started/requirements/#:~:text=most%20recent%20releases.-,Overview,%2D64%20(Apple%20Silicon%20Macs))

##### UI

- Sí, una de las mejores UI del sector.

##### Licencia

- Versión **Community (gratis, OSS)**.
- Versiones Enterprise y Developer con más reglas/lenguajes.
- Puede instalarse en VMs (Docker o instalación manual).

##### Facilidad de uso

- Moderado. Requiere configuración inicial y escáner. UI muy intuitiva.

##### Cumplimiento con estándares:

- **OWASP:** Incluye reglas específicas alineadas con OWASP Top 10 (inyecciones, XSS, autenticación insegura, etc.).
- **NIST:** Compatible con NIST CSF y NIST 800-53 al apoyar revisiones de código (controles SA-11, RA-5).
- **ISO/IEC 27001:** Cumple con controles como A.14.2.5 (principios de desarrollo seguro) y A.14.2.8 (pruebas técnicas).
- **PCI DSS:** Cumple con requisitos de análisis de código seguro como el 6.3.2.