Пять лет назад я разворачивал SonarQube на продакшн-проекте. Потратил неделю на конфигурацию, ещё две — на убирание тысяч false positives. Команда взвыла. Но через месяц мы пойали критический баг до того, как он ушёл к пользователям.
С тех пор моё отношение к SonarQube... сложное. Инструмент мощный, но как тяжёлый фреймворк — даёт много, но требует много взамен.
Разберёмся, что это за зверь, когда он полезен, а когда лучше поискать альтернативу.
Что такое SonarQube и как он работает
SonarQube — платформа для непрерывного анализа качества кода. Не просто линтер, а комбайн, который проверяет всё: от дублирования до уязвимостей безопасности.
Архитектура простая. Есть сервер, есть анализаторы (SonarScanner), есть база данных. Анализатор парсит код, отправляет результаты на сервер, сервер хранит историю и показывает красивые дашборды.
Внутри SonarQube использует несколько типов анализа. Лексический анализ кода — базовый слой, который разбирает токены и структуру. Потом идёт синтаксический разбор, построение AST, и наконец — семантический анализ, который понимает связи между переменными, методами и классами.
На выходе получаете метрики: coverage, complexity, duplications, code smells, bugs, vulnerabilities. Звучит круто. Но дьявол в деталях.
Возможности SonarQube: от полезного к бесполезному
Quality Gates — это главная фича. Настраиваете пороги: покрытие не ниже 80%, критических багов — ноль, code smells — не больше 50. Если хотя бы одно условие не выполнено — пайплайн падает. Жёстко, но работает.
Правила — их тысячи. Для Java около 700 активных правил по умолчанию. Для анализа кода javascript — около 450. Часть реально полезные, часть — шум. Вот пример полезного правила для JavaScript:
// SonarQube поймает это как bug
function getUser(id) {
if (id > 0) {
return db.find(id);
}
// implicitly returns undefined
}
// Правильно:
function getUser(id) {
if (id > 0) {
return db.find(id);
}
return null;
}
Security hotspot'ы — отдельная категория. SonarQube отмечает места, где потенциально может быть уязвимость. Использование eval(), SQL-инъекции, hardcoded passwords. Правда, 90% hotspot'ов оказываются легитимным кодом, который нужно просто разревьюить.
Tech debt — метрика, которая показывает, сколько времени нужно на исправление всех проблем. Звучит как бизнес-метрика, но на практике... Кто из вас реально планировал спринт на основе tech debt от SonarQube? Поднимите руки. Никто.
Где SonarQube работает хорошо
Большие энтерпрайз-проекты. Я имею в виду действительно большие: 100+ разработчиков, миллионы строк кода, несколько команд. Тут SonarQube оправдывает затраты.
Легаси-проекты, которые нужно «обезвредить». Запускаете анализ, видите 5000 issues, приоритизируете, чините критические. Постепенно код становится лучше. SonarQube не даёт скатиться обратно — Quality Gate не пустит.
Java-проекты. Тут SonarQube родная стихия. Правила отточены годами, интеграция с Maven/Gradle из коробки, плагины для всего. Анализ кода javascript тоже нормальный, но уступает специализированным инструментам.
Регуляторные требования. Если ваш проект должен соответствовать CERT, CWE, OWASP — SonarQube из коробки даёт отчёты. Можно показать аудиторам.
Где SonarQube ломается
Стартапы и маленькие команды. На одном проекте мы потратили два спринта на настройку SonarQube. Команда из четырёх человек. Это было тупо. Мы бы закодили две фичи за это время.
Быстрая разработка. Когда релизите по несколько раз в день, ждать 15-минутный анализ — боль. CI/CD тормозит, разработчики нервничают.
Микросервисы. У вас 50 репозиториев по 10 тысяч строк. Разворачивать SonarQube для каждого? Дублировать конфигурацию? Поддерживать? Нет уж.
False positives. Проблема любого статического анализатора, но SonarQube особенно страдает. Вот реальный пример из Java-проекта:
// SonarQube: "Use try-with-resources"
// Но connection pool не закрывает коннекты так просто
public List<User> getUsers() {
Connection conn = dataSource.getConnection();
try {
return userDao.findAll(conn);
} finally {
// SonarQube не понимает, что conn возвращается в pool
conn.close();
}
}
Приходится либо suppress'ить, либо объяснять команде, почему это false positive. И то и другое — время.
Сравнение: SonarQube vs альтернативы
Не буду темнить — вот честная таблица.
| Критерий | SonarQube | ESLint/Prettier | CodeClimate | Distiq |
|---|---|---|---|---|
| Настройка | Сложно, 1-3 дня | Средне, 2-4 часа | Просто, 30 мин | Просто, 2 мин |
| Сервер | Нужен отдельный | Не нужен | Cloud | Cloud |
| История метрик | Есть | Нет | Есть | Есть |
| False positives | Много | Средне | Мало | Мало |
| Интеграция с Git | Сложная | Средняя | Хорошая | Отличная |
| Российские сервера | Нет | — | Нет | Есть |
| Цена | Бесплатно (Community) / Дорого (Enterprise) | Бесплатно | От $0 | От $0 |
ESLint для анализа кода javascript — это база. Не нужен SonarQube, если вам просто проверить JS-проект. Настройте ESLint с Airbnb config, добавьте Prettier, и 80% проблем закрыто.
CodeClimate — хороший вариант для стартапов. Быстрая интеграция, разумные правила, не перегружен. Но сервера в США, и для российских компаний это может быть проблемой.
Развёртывание SonarQube: быстрый старт
Если всё же решили ставить SonarQube, вот минимальный docker-compose:
version: "3"
services:
sonarqube:
image: sonarqube:community
ports:
- "9000:9000"
environment:
SONAR_ES_BOOTSTRAP_CHECKS_DISABLE: "true"
volumes:
- sonarqube_data:/opt/sonarqube/data
- sonarqube_logs:/opt/sonarqube/logs
volumes:
sonarqube_data:
sonarqube_logs:
Запуск — это полдела. Дальше настраиваете проект, Quality Gate, правила под команду. Готовьтесь потратить неделю на fine-tuning.
# Запуск анализа
sonar-scanner \
-Dsonar.projectKey=my-project \
-Dsonar.sources=src \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.login=$SONAR_TOKEN
Когда выбрать что-то другое
SonarQube не нужен, если:
- Команда меньше 10 человек
- Релизный цикл короче недели
- Нет dedicated DevOps/Инженера по качеству
- Проект на ранней стадии
- Бюджет на инфраструктуру ограничен
В таких случаях посмотрите в сторону облачных решений. Меньше головной боли, быстрее результат.
Резюме
SonarQube — мощный инструмент для энтерпрайза. Но как и любой энтерпрайз-инструмент, он требует инвестиций: времени, людей, серверов. Окупается на больших проектах, съедает ресурсы на маленьких.
Если вам нужен code review без тяжелой инфраструктуры — посмотрите на облачные решения. Distiq, например, делает инлайн-комментарии в MR/PR, находит баги и уязвимости, и разворачивается за две минуты через webhook. Российские сервера, данные не уходят за рубеж. Для команды до 50 человек — обычно лучшее соотношение усилий к результату.
Выбор инструмента зависит от контекста. Нет серебряной пули. Но есть инструменты, которые не создают больше работы, чем экономят.