본 문서는 정적분석 도구인 SonarQube에 ISMS rule set 구성하는 방법을 설명한다.

선행조건

플러그인 설치

ISMS는 Findbugs, PDM, Find Security Bugs 룰을 기반으로 구성되므로 관련 플러그인을 설치한다.

Administration >> System >> Update Center 화면에서 플러그인을 설치한다.

• Find Bugs (Find Security Bugs가 포함됨)
• PMD

룰 구성

분석룰은 Quality Profile을 기준으로 관리할 수 있다. Quality profile을 생성하여 profile에 rule를 정의한 후 완성된 profile을 프로젝트에 지정하는 절차를 따른다.

품질 프로파일 생성

 Quality Profiles >> Create  메뉴를 이용한다.

New Profile 아래 정보를 입력하고 Create 버튼을 클릭하여 적용할 언어를 지정한다.

• Name
• Language > C#
                   > Java
                   > JavaScript

품질 프로파일 복사와 같은 부가 기능은 SonarQube 관리자 가이드를 참조한다.

룰 편집

Rules >> Rules 페이지에서 룰 편집 기능을 제공한다.

언어, 품질 등급 (Type), Tags, Status, Quality Profile등을 혼합하여 룰을 편집할 수 있다. 아래 그림의 예는 Java 언어, Bug/Code Smell 타입, Deprecated 상태 룰을 나타낸다. 

룰 추가

편집하고 싶은 품질 프로파일을 선택하여 "inactive" 버튼을 클릭하여 품질 프로파일에 포함되지 않은 룰의 목록을 확인한다.

룰의 우측 Activate 버튼을 누르면 선택된 품질 프로파일 "KUH Quality Profile"에 해당 룰이 추가된다.

옵션창이 나타나 Severity와 룰의 옵션을 선택할 수 있다.Activate 버튼을 누르면 선택된 룰이 품질 프로파일에 추가된다.

룰 제거

편집하고 싶은 품질 프로파일을 선택하여 "active" 버튼을 클릭하여 품질 프로파일에 포함된 룰의 목록을 확인한다.

룰의 우측 Deactivate 버튼을 누르면 선택된 품질 프로파일 "KUH Quality Profile"에서 해당 룰이 제거된다.

ISMS 룰 구성

ISMS 코드 품질 룰은 Find Bugs, Find Security Bugs, 그리고 PMD의 집합으로 구성된다. 따라서 룰을 목록에서 찾아 품질 프로파일에 포함시킨다.

Find Bugs 및  Find Security Bugs 룰셋

PMD 룰 셋