Sonarqube für Backend

[d135-1r43]

Story

Als Developer haben wir einen SonarQube, der fortlaufend die Qualität das Java Codes im Backend überwacht.

Akzeptanzkriterien

• Wir bevorzugen SaaS über self-hosted. Wenn self-hosted notwendig sein sollte, muss der PO freigeben.
• Nach Möglichkeit nutzen wir kostenlose Angebote für Non-Profits und FOSS Software. Sollte es dennoch zu Kosten kommen, muss @manuelhummler diese freigeben.
• Der SonarQube Build läuft möglichst oft und automatisch, mindestens gegen main, besser bei jedem PR.

[MatthiasRaimann]

Ich würde hierfür den "cloud-based" Service von Sonar Qube nehmen. Ist kostenlos für Open-Source Software.

[MatthiasRaimann]

@d135-1r43 du solltest in der Github-Org eine Anfrage vorliegen haben, dass der SonarQube auf das Repo zugreifen darf.

[d135-1r43]

Ich habe es gerade angenommen und dann auch gleich den Wizzard durchgeklickt. https://sonarcloud.io/project/configuration?id=hopps-app_hopps

Kannst du mal schauen, ob alles passt?

[MatthiasRaimann]

@d135-1r43

Gerade ist alles was ich sehen kann das hier... Brauche ich eine Berechtigung um hier weitere Einstellungen vornehmen zu können?

Ich kann auch keine Keys sehen, die ich brauche, um damit das Projekt in der Pipeline checken zu lassen.

[d135-1r43]

Ich denke man muss die Analyse in der GitLab CI/CD machen. Also tatsächlich als Maven-Build als Teil der Pipeline, nicht pull sondern push.

[MatthiasRaimann]

Ich benötige Berechtigungen um im Repo Credentials eintragen zu können (SonarQube-Token) @d135-1r43 , @schitcrafter @D4ykoo

[schitcrafter]

Per GitHub docs braucht man dafür anscheinend die Admin Rolle in der org, ob du die kriegst muss Markus entscheiden

[d135-1r43]

Dann setze ich das Credential. Bitte melde dich im Slack und wir regeln das… @MatthiasRaimann

[MatthiasRaimann]

Anleitung: https://docs.sonarsource.com/sonarcloud/advanced-setup/ci-based-analysis/sonarscanner-for-maven/#server-organization-and-project