페이지 이력

이 문서는 SonarQube와 SonarQube의 SonarLint의 연결 모드에 대한 정보를 공유하기 위해 작성되었다모드(Connected Mode)에 대해 설명합니다.

...

개요

...

SonarLint란 무료 IDE Extension으로 코드 작성 시에 이슈를 탐지하여 수정 방안을 제시한다. 

SonarQube와의 연결 모드를 통해 개발자의 로컬 프로젝트를  SonarQube 프로젝트에 바인딩하여 사용할 수 있다.

이점

코드 품질 공유

SonarLint를 사용할 때 디폴트로 Sonar Quality Profile이 사용되며 사용자는 ruleset을 정의할 수 있다. 

SonarLint는 클린 코드를 유지하기 위한 첫 번째 방어선입니다.

연결모드를 사용하면 SonarLint가 SonarQube 프로젝트를 로컬 프로젝트에 바인딩하여 커밋하기 전에 IDE에서 이슈를 바로 확인할 수 있습니다. 

SonarLint는 무료 IDE 확장 프로그램으로 SonarQube와 통합되며, 실시간 코드 검사 기능을 제공합니다.

이슈를 감지하면 수정 가이드를 제공하고,일부 자동 수정(Quick Fix)도 지원합니다.

지원되는 IDE

SonarLint는 아래의 주요 IDE와 통합 가능합니다.

• IntelliJ (CLion, GoLand, WebStorm, PyCharm 등)
• Visual Studio
• VS Code
• Eclipse

연결 모드 주요 기능

공유된 코드 품질 및 보안 기대

• 기본적으로 SonarLint는 Sonar Quality Profile을 사용하며, 사용자가 규칙 세트를 커스터마이징할 수 있습니다

...

• .
• 연결모드를 사용하면 IDE와 SonarQube 모두 동일한

...

• 품질 프로필이 적용되며, 로컬 인스턴스가 프로젝트의 품질 게이트 표준을 충족하지 않는 경우 IDE에서 알림을

...

• 받게됩니다.

보안 강화

연결 모드에서는 SonarQube 상용 버전에서 발견된 taint analysis 이슈를 가져와서 확인할  수 있다.

프로젝트를 지속적으로 분석하는 환경에서 유용하게 사용할 수 있다.

Open in IDE 기능 사용[10.3-]

SonarQube 10.3버전부터 Issues 페이지의 "Open in IDE" 버튼을 클릭하여 taint 취약점(상용버전)을 포함한 모든 이슈를 IDE로 확인할 수 있다.

연결 모드에서 IDE에 해당 프로젝트가 열려있는 경우에 사용 가능하다.  

10.3버전의 경우  IntelliJ or VS Code, 10.4버전부터  IntelliJ, Visual Studio, VS Code, or Eclipse에서 확인할 수 있다.

Image Removed

SonarLint 사용자 확인

SonarQube 관리자는 Administration > Security > Users의 Last SonarLint connection에서 각 사용자의 SonarLint 마지막 사용 시간을 확인할 수 있다.

활동을 기준으로 사용자를 필터링할 수 있다.

• All users : 모든 사용자
• Active users with SonarLint: 지난 30일 동안 연결 모드에서 SonarLint를 한 번 이상 사용한 사용자
• Active users without SonarLint: 지난 30일 동안 SonarQube에 한 번 이상 연결한 사용자.
• Inactive users: 지난 30일 동안 SonarQube에 연결하지 않았거나 연결된 모드에서 SonarLint를 사용하지 않은 사용자

Smart notifications

연결 모드를 사용하면 Sonarqube가 새로운 이슈를 발견할 때 개인이나 팀이 IDE에서 알림을 받을 수 있다.

참조 링크

• SonarLint 단독 사용 시에는 성능상의 이유로 SonarQube의 테인트 분석(taint analysis) 결과가 표시되지 않습니다.
• 연결모드를 사용하면 테인트 분석 이슈를 IDE에서 직접 확인할 수 있어, 커밋한 코드가 안전한지 확인할 수 있습니다.

스마트 알림(Smart Notifications)

• 연결모드를 사용하면 IDE에서 열려있는 프로젝트의 새로운 이슈가 감지되거나 품질 게이트 상태가 변경되었을 때 개인이나 팀에게 알림을 보낼 수 있습니다. 
• IDE에서 SonarLint를 사용하여 활성화/비활성화할 수 있습니다.

문제 리뷰 및 IDE 통합

• IntelliJ, Visual Studio, VS Code 또는 Eclipse에 SonarLint를 사용하는 경우, Open in IDE 버튼을 사용하여 SonarQube에서 발견된 문제를 IDE로 바로 열어 확인할 수 있습니다.
• Open in IDE 기능을 사용하여 보안 핫스팟을 여는 것은 모든 SonarLint IDE에서 사용할 수 있습니다. 

SonarLint-SonarQube 버전 지원 정책

• SonarLint는 최신 버전의 SonarQube 및 최신 LTA(Long-Term Active) 버전을 지원합니다.
• 새 LTA 버전이 릴리스되면(약 18~24개월 주기), 이전 LTA 버전은 12개월 동안 지원됩니다.
• SonarQube 8.9 LTA는 2023년 11월에 지원이 종료되었습니다.

SonarLint연결 모드 설정

SonarLint와 SonarQube를 연결하려면 각 IDE에 따라 설정이 필요합니다. 아래 링크에서 상세한 설정 방법을 확인할 수 있습니다

• IntelliJ용 SonarLint
• Visual Studio용 SonarLint
• VS Code용 SonarLint
• Eclipse용 SonarLint

SonarLint 사용 이해

SonarQube 관리자는Administration > Security > Users에서 사용자의  SonarLint 사용 현황을 확인할 수 있습니다.

• 활성 사용자: 최근 30일 내 SonarLint를 Connected Mode에서 사용한 사용자
• 비활성 사용자: 최근 30일 동안 SonarQube 또는 SonarLint를 사용하지 않은 사용자

...

참조 링크

• https://docs.sonarsource.com/sonarqube-server/latest/user-guide/sonarlint-connected-mode/
• SonarLint connected mode (sonarsource.com)
• Investigating issues - IntelliJ (sonarsource.com)