정적코드분석 도구

코드의 품질 향상과 유지보수성 향상, 보안 강화를 위해서 정적코드분석 도구 Sonarqube를 사용합니다.

사전 준비 사항

• 깃랩 계정
• 정적분석을 할 대상 코드 저장소 (Maintainer 가 미리 구성)

시작하기

1. static-analysis.langsa.ai 로 접근

   

2. Authorize 버튼을 클릭해서 깃랩 계정을 이용해서 Sonarqube 사용하도록 허용

   

안내 기능 활성화

이메일 알람을 이용해서 안내를 받아 수시로 오류 상황을 인지하고 피동적으로 이슈를 해결 하도록 돕습니다.

1. 프로필 버튼에서 내 계정 메뉴를 선택 하세요.
2. 안내된 메뉴에서 알림 메뉴를 확인 합니다.
3. "전체 알람" 카드의 이메일 항목을 모두 체크해서 활성화 하시고, Add a project 버튼으로 개별 프로젝트(개발대상프로젝트 이름)를 검색해서 추가 합니다.
4. 개별 프로젝트의 이메일 항목도 모두 체크해서 활성화 합니다.
5. 추후에 코드 Push(또는 Merge Request)와 같은 소스 변경이 발생하면, 다음 형식과 같은 안내 메일을 받을 수 있습니다.
   정보

   정적코드분석 결과 이상이 없을 경우, 안내 메일은 발송되지 않습니다.

이슈 해결 방법

정정코드분석 결과 사항은 중대한 보안 사고나 시스템 장애를 초래할 수 있습니다.
특히, 내용중에 Type이 bug 또는 Vulnerability 에 해당하는 내용은 꼼꼼히 살펴 완벽하게 처리해야 합니다.

1. 최상위 메뉴 중에 이슈 를 선택 하세요.
   이슈로 나오는 항목 중 해결 할 항목을 클릭하세요.

   

2. 선택된 이슈에 대한 나름의 설명과 정확한 코드 위치가 확인 됩니다. 내용에 맞춰서 이슈를 해결하도록 합니다.

   
   팁

   사용하시는 IDE에 맞춰서, Sonarlint 등의 플러그인이 있습니다. 코드를 작성하는 실시간 안내를 받을 수도 있고, 보다 자세한 가이드를 제공하기도 합니다.

   ---

   대표 IDE 별 Sonarlint Plugin

   • IntelliJ
   • Visual Studio Code
   • Eclipse