Я долго сопротивлялся написанию этой статьи. Потому что честный разговор про SonarQube и BSL — это не про восторги, а про компромиссы. Но именно это нужно знать перед внедрением.
Начнём с того, что SonarQube — это основной инструмент для статического анализа кода в экосистеме 1C. И да, он работает с BSL (Business Script Language). Но работает — не значит, что всё гладко.
Что такое SonarQube и почему его используют для 1C
SonarQube — платформа для анализа качества кода. Французская компания SonarSource создала её в 2008-м, и за 15+ лет она стала стандартом в enterprise. Вроде как.
Для BSL (языка 1C) работает через плагин. Основной — это sonarqube-bsl-plugin, поддерживаемый сообществом. Есть также платная версия от 1C, но её используют редко. Почему? Потому что бесплатная версия покрывает 80% нужд, а платная стоит денег.
Вот что SonarQube умеет:
Анализирует код на ошибки, запахи кода, дублирование. Считает метрики: цикломатическая сложность, покрытие тестами (если настроить), технический долг. Хранит историю — можешь смотреть, как менялось качество кода за полгода. Интегрируется с GitLab, GitHub, Bitbucket. Показывает результаты в веб-интерфейсе и в MR/PR как комментарии.
Звучит идеально? Почти. Но дьявол в деталях.
Как устроен SonarQube для BSL: реальная картина
Когда я впервые внедрял SonarQube на проекте с 1C, ожидал, что настроится за день. Настраивалось две недели. Не потому, что я неумелый — потому, что документация по BSL-плагину... скромная.
Вот что нужно сделать:
Установка базового сервера. SonarQube пишется на Java, поэтому сначала нужен JDK (минимум 11-я версия). Потом скачиваешь SonarQube, распаковываешь, запускаешь. На Linux это 5 команд. На Windows — тоже. Но потом начинаются приколы.
Подключение BSL-плагина. Скачиваешь jar-файл плагина (есть на GitHub в репозитории 1C-Syntax), кидаешь в папку extensions/plugins, перезагружаешь сервис. SonarQube должен его найти автоматически. Должен. Иногда не находит — нужно копаться в логах.
Настройка правил. Здесь главная боль. SonarQube для BSL предлагает стандартный набор правил. Некоторые из них полезные (например, обнаружение неиспользуемых переменных), некоторые раздражают (например, правило про длину строк в комментариях). Ты можешь включать/отключать правила, менять их серьёзность, создавать собственные наборы (Quality Profiles).
Пример: у нас был проект, где все привыкли писать функции в 500 строк. SonarQube вопил про это каждый день. Пришлось либо менять правила, либо переписывать функции. Мы выбрали первое. Потом пожалели.
Анализ в CI/CD. Интеграция с GitLab/GitHub работает через webhook и SonarScanner — консольную утилиту. Ты добавляешь шаг в pipeline, и при каждом MR код анализируется. Результаты выводятся в комментарии PR. Это работает хорошо, если правильно настроить.
Пример конфига для GitLab CI:
sonarqube:
stage: test
image: mcr.microsoft.com/windows/servercore:ltsc2019
script:
- choco install sonarscanner-msbuild -y
- SonarScanner.MSBuild.exe begin /k:"project-key" /d:sonar.login=$SONAR_TOKEN
- dotnet build
- SonarScanner.MSBuild.exe end /d:sonar.login=$SONAR_TOKEN
only:
- merge_requests
Или для Linux (проще):
sonarqube:
stage: test
image: sonarsource/sonar-scanner-cli:latest
script:
- sonar-scanner -Dsonar.projectKey=my-1c-project -Dsonar.sources=. -Dsonar.host.url=$SONAR_HOST_URL -Dsonar.login=$SONAR_TOKEN
only:
- merge_requests
Работает. Но медленно. Анализ даже небольшого проекта может занять 2-3 минуты. Плюс нужно, чтобы SonarQube был доступен из CI/CD сети. Если у вас изолированная сеть, придётся возиться с проксированием.
Таблица плюсов и минусов SonarQube для BSL
| Плюс | Минус |
|---|---|
| Стандарт де-факто для 1C | Сложная установка и настройка |
| Бесплатный (Community Edition) | Медленный анализ (2-3 минуты на среднем проекте) |
| Интегрируется с GitLab/GitHub | Требует отдельный сервер (Java, БД) |
| История качества кода | Правила по BSL не очень гибкие |
| Большое сообщество | Документация на русском — не очень |
| Находит настоящие баги | UI местами запутан даже для опытных |
| Поддерживает 25+ языков | Если хочешь платную поддержку — дорого |
Честно? Для больших проектов (100k+ строк кода) SonarQube оправдывает себя. Для стартапа или небольшого проекта — оверкилл.
Когда SonarQube реально помогает (и когда не помогает)
Помогает:
- На проектах, где 10+ разработчиков. Когда нужна дисциплина и единые стандарты.
- Когда есть legacy-код и нужно его удерживать в узде.
- Когда требуют документировать качество кода (банки, госструктуры).
Не помогает:
- На маленьких командах (1-3 человека), где лучше работает code review в MR.
- На очень новых проектах, где правила ещё не устоялись.
- Если нет ресурсов на поддержку отдельного сервера.
На одном проекте я видел SonarQube, который установили, настроили, и потом никто не смотрит на результаты. Красивый дашборд, нулевая практическая ценность. Потому что команда не была вовлечена в процесс.
Альтернативы SonarQube для анализа BSL
CheckBSL. Это более лёгкая альтернатива. Работает локально, быстрый, не требует сервера. Интегрируется в VS Code и Sublime. Минус: меньше возможностей, нет истории, нет интеграции с Git. Подходит для личной работы и небольших команд.
BSLint. Ещё один инструмент от сообщества. Фокусируется на ошибках и стилистических проблемах. Встраивается в IDE. Легче, чем SonarQube, но меньше функций.
Встроенные инструменты 1C. В новых версиях платформы 1C есть встроенный анализатор. Не так мощный, как SonarQube, но работает из коробки.
AI-based code review. Здесь появляются новые игроки. Например, можно использовать инструменты, которые работают с любыми языками, включая BSL, через интеграцию с Git. Они анализируют PR в реальном времени и оставляют комментарии. Быстрее, чем SonarQube, но нужна облачная интеграция.
Сравнение инструментов
| Инструмент | Установка | Скорость | Интеграция Git | История | Цена |
|---|---|---|---|---|---|
| SonarQube | Сложная | Медленно (2-3 мин) | Хорошая | Да | Бесплатно/платно |
| CheckBSL | Лёгкая | Быстро | Нет | Нет | Бесплатно |
| BSLint | Лёгкая | Быстро | Локально | Нет | Бесплатно |
| 1C встроенный | Встроен | Быстро | Нет | Нет | Включен |
| AI code review | Мгновенная | Очень быстро | Отличная | Да | От $50/мес |
Последний пункт — это про сервисы вроде CodeRabbit или аналогичные решения. Они работают как бот в PR и анализируют код на лету. Для BSL таких мало, потому что язык узкий. Но для многоязычных проектов (1C + Python, 1C + JavaScript) это может быть удобнее.
Практический совет: как выбрать
Если у вас:
- Большая команда (8+ человек)
- Legacy-проект или критичные системы
- Нужна история качества кода
То SonarQube — правильный выбор. Да, сложновато с настройкой, но оно того стоит.
Если у вас:
- Команда 1-5 человек
- Новый проект
- Хотите быстрого результата
То начните с CheckBSL или встроенного анализатора 1C. Без лишних сложностей.
Если у вас:
- Многоязычный проект (1C + ещё что-то)
- Хотите автоматизировать code review полностью
- Готовы платить за удобство
То смотрите на современные AI-based решения. Они работают быстрее, не требуют сервера, интегрируются в PR мгновенно.
На российском рынке, кстати, появляются свои инструменты. Например, Distiq — это AI code review, который поддерживает не только 1C (BSL), но и Python, JavaScript, Java и другие языки. Работает с GitLab, GitHub и GitVerse. Интегрируется за 2 минуты, анализирует PR прямо в комментариях. Нет необходимости в отдельном сервере. Для многоязычных проектов — удобнее, чем таскать SonarQube.
Но это уже другой разговор. Главное — выбирайте инструмент под вашу задачу, а не наоборот.