SonarQubeクライアントのバージョンを更新する

[berryzplus]

PR の目的

SonarQubeクライアントを最新版に更新して静的解析の精度を上げます。

カテゴリ

• その他の問題

PR の背景

静的解析ツール「SonarQubeクライアント」の新しいバージョンがリリースされています。

外部ツールもプログラムなので、バージョンアップによって機能が向上したり不具合が解消したりします。

PR のメリット

PR のデメリット (トレードオフとかあれば)

仕様・動作説明

GitHub Actionsで静的解析を実行するスクリプト「sonarscan.yml」は、
Sonar Qubeクライアントのバージョンを環境変数で定義しておき、
静的解析キャッシュのキーとダウンロードファイルのパスに使われるように作ってあります。

1. SONAR_QUBE_VERSIONの定義を変える。
2. 静的解析キャッシュのキーが変わるので、キャッシュが使われなくなる。
3. キャッシュがないので新しいzipファイルをダウンロードする。
4. 変更されたキーに対して、新しいキャッシュが保存される。

厳密には、バージョンアップによって他も変えられるようになっているかも知れませんが、今回はバージョン変更のみで対応します。

静的解析キャッシュが使われない関係で、直近30日間にマージされた変更差分が再チェックされます。
Security Hotspotが3件、Code Smellsが5件検出されますが、PRの趣旨と関係ないため対応しません。

PR の影響範囲

SonarCloudの解析結果に影響する変更です。

テスト内容

アプリの機能変更がないため、ローカルのGitHub Actionsを実行したのみです。

関連 issue, PR

参考資料

[sonarcloud]

Kudos, SonarCloud Quality Gate passed!   

0 Bugs
0 Vulnerabilities
0 Security Hotspots
0 Code Smells

No Coverage information
0.0% Duplication

[sanomari]

静的解析キャッシュが使われない関係で、直近30日間にマージされた変更差分が再チェックされます。
Security Hotspotが3件、Code Smellsが5件検出されますが、PRの趣旨と関係ないため対応しません。

[berryzplus]

ん？

静的解析キャッシュが使われない関係で、直近30日間にマージされた変更差分が再チェックされます。
Security Hotspotが3件、Code Smellsが5件検出されますが、PRの趣旨と関係ないため対応しません。

セキュリティ対策か何かで「PRビルド時にはマージ済みのスクリプトが走る」ということらしいです。
ビルド結果はローカルで実施したもので確認できます。
https://github.com/berryzplus/sakura/runs/6850582898

[berryzplus]

ありがとうございます。マージしときます。