SonarQube
Descripción
SonarQube es una herramienta de análisis estático de código para detectar bugs, vulnerabilidades, y code smells en más de 25 lenguajes.
Uso local
# Análisis local con CLI
sonar-scanner -Dsonar.projectKey=myproject -Dsonar.sources=. -Dsonar.host.url=http://localhost:9000
Reportes
-
Interfaz web con dashboards.
-
Muestra cobertura de código, vulnerabilidades, duplicaciones, etc.
Integración en CI/CD
-
Plugins para GitHub Actions, GitLab, Jenkins.
-
DevSecOps: integración con calidad de código.
- name: SonarQube Scan
uses: SonarSource/sonarqube-scan-action@<action version> # Ex: v4.1.0, See the latest version at https://github.com/marketplace/actions/official-sonarqube-scan
env:
SONAR_TOKEN: ${{ secrets.SONAR_TOKEN }}
SONAR_HOST_URL: ${{ vars.SONAR_HOST_URL }}Integraciones
-
GitHub, GitLab, Bitbucket.
-
Jira: integraciones para crear tickets automáticamente.
-
Slack, Teams: plugins para notificaciones.
-
VSCode: extensión oficial.
UI
- Sí, una de las mejores UI del sector.
Licencia
-
Versión Community (gratis, OSS).
-
Versiones Enterprise y Developer con más reglas/lenguajes.
-
Puede instalarse en VMs (Docker o instalación manual).
Facilidad de uso
- Moderado. Requiere configuración inicial y escáner. UI muy intuitiva.