Когда поднимаешь SonarQube в продакшене, первый вопрос — безопасность. HTTP оставлять нельзя, логины-пароли летят открытым текстом. Значит, нужен HTTPS. И вот тут начинается интересное.
SonarQube — статический анализатор кода, который многие команды используют годами. Он находит баги, уязвимости, code smells. Но из коробки он работает на HTTP, и настройка HTTPS — это отдельный квест. Давайте разберёмся, как это сделать правильно, и главное — стоит ли игра свеч.
Зачем вообще HTTPS для SonarQube
Если ваш SonarQube доступен из интернета — HTTPS обязателен. Без него любой перехватит токены доступа, пароли администраторов, увидит весь код, который вы загружаете на анализ. Короче, полная компрометация.
Внутри корпоративной сети аргументов меньше. Но многие компании требуют шифрование везде — политика безопасности. Плюс, если используете SSO, OAuth — без HTTPS эти протоколы просто не заработают.
Честно? На одном проекте мы долго спорили с безопасниками. SonarQube стоял во внутренней сети, HTTP. Аудиторы настояли на HTTPS. Потратили неделю на настройку. Неделю. На то, что по сути не давало никакой пользы в нашем контексте. Но такова жизнь.
Три способа настроить HTTPS
1. Reverse proxy — стандартный путь
Большинство команд ставят Nginx или Apache перед SonarQube. Это самый гибкий вариант.
server {
listen 443 ssl;
server_name sonar.yourcompany.com;
ssl_certificate /etc/ssl/certs/sonar.crt;
ssl_certificate_key /etc/ssl/private/sonar.key;
location / {
proxy_pass http://localhost:9000;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
}
}
SonarQube должен знать, что он за прокси. Добавьте в sonar.properties:
sonar.web.host=127.0.0.1
sonar.web.port=9000
sonar.web.context=/
И не забудьте заголовок X-Forwarded-Proto. Без него SonarQube будет генерировать неправильные ссылки в письмах и редиректах.
2. Встроенный HTTPS в SonarQube
SonarQube умеет HTTPS из коробки. Мало кто это использует, но вариант рабочий.
sonar.web.https.keyStore=/path/to/keystore.jks
sonar.web.https.keyStorePassword=changeit
sonar.web.https.keyManagerPassword=changeit
sonar.web.https.trustStore=/path/to/truststore.jks
sonar.web.https.trustStorePassword=changeit
Проблема — нужен Java KeyStore. Сертификаты в PEM/PEM придётся конвертировать. И перезагружать SonarQube каждый раз при обновлении сертификата.
Удобно для быстрого теста. Для продакшена — не рекомендую.
3. Kubernetes Ingress
Если вы в кубере — используйте Ingress с cert-manager. Автоматическое управление сертификатами Let's Encrypt.
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: sonarqube
annotations:
cert-manager.io/cluster-issuer: letsencrypt-prod
spec:
tls:
- hosts:
- sonar.yourcompany.com
secretName: sonarqube-tls
rules:
- host: sonar.yourcompany.com
http:
paths:
- path: /
pathType: Prefix
backend:
service:
name: sonarqube
port:
number: 9000
Это современный подход. Сертификаты обновляются сами. Минимум ручной работы.
Грабли, на которые я наступал
WebSocket ломается. SonarQube использует WebSocket для live-обновлений. Если прокси не настроен правильно — бесконечный спиннер при анализе. Решение: добавьте upgrade-заголовки в Nginx.
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
Ceilometer и большие файлы. SonarQube принимает загрузку файлов с результатами анализа. Ограничение по умолчанию в Nginx — 1MB. Увеличьте:
client_max_body_size 100M;
Смешанный контент. Если SonarQube встроен через iframe в другой сайт по HTTP — браузер заблокирует. Проверьте консоль разработчика.
Сравнение с альтернативами
SonarQube — не единственный вариант. Давайте честно сравним.
| Критерий | SonarQube (self-hosted) | SonarCloud | GitHub Advanced Security | Distiq |
|---|---|---|---|---|
| Настройка HTTPS | Ваша проблема | Уже есть | Уже есть | Уже есть |
| Обновления | Ваши проблемы | Автоматически | Автоматически | Автоматически |
| Интеграция | GitLab, GitHub, Bitbucket | GitHub, Azure, Bitbucket | GitHub only | GitLab, GitHub, GitVerse |
| Языки | 29+ | 29+ | Ограничено | Все популярные |
| Стоимость | Бесплатно (Community) | От $15K/год | От $490/год | От 3000₽/мес |
| Серверы | Ваши | EU/US | US | РФ |
| AI-анализ | Нет | Частично | Copilot | Полный AI |
SonarQube Community бесплатен. Но время администратора стоит денег. Настройка, обновления, мониторинг, бэкапы. В одном стартапе мы считали: SysAdmin тратил около 4 часов в месяц на SonarQube. Умножьте на ставку.
Когда SonarQube — правильный выбор
Вам нужен SonarQube self-hosted если:
- Строгие требования к хранению данных внутри периметра
- Бюджет на коммерческие SaaS отсутствует, а Community хватает
- Есть выделенный администратор, который любит копаться в конфигах
- Нужны специфические плагины, которых нет в облаке
Во всех остальных случаях — подумайте дважды. Настройка HTTPS — это только начало. Потом будут обновления базы данных, миграции между версиями, несовместимость плагинов.
Когда смотреть в сторону SaaS
Команда до 10 человек? SaaS окупится временем. Даже если платный.
Нет выделенного DevOps? Не тратьте время разработчиков на админские задачи.
Используете GitLab или GitHub? Нативные интеграции экономят кучу времени. SonarQube тоже умеет, но это дополнительная настройка.
Российская альтернатива
Если работаете с гособоронзаказом, персональными данными граждан РФ или просто не хотите зависеть от зарубежных сервисов — SonarQube self-hosted был бы логичным выбором. Но есть и другой путь.
Distiq — российский AI-сервис для code review. Он не требует настройки HTTPS, серверов, администрирования. Подключается к GitLab, GitHub или GitVerse за пару минут через webhook. Анализирует каждый merge request, пишет инлайн-комментарии. Находит баги, уязвимости, проблемы производительности. Данные остаются в РФ.
По моему опыту, для большинства российских команд это проще, чем держать собственный SonarQube. Особенно если нет выделенного админа. Но если вам нужен полный контроль и есть ресурсы на поддержку — SonarQube с правильно настроенным HTTPS тоже вариант рабочий.