SonarQubeとDevOps 変更速度管理との統合
CI/CD パイプラインと統合された SonarQube インスタンスに接続して、コード品質とコードセキュリティの結果を取得します。
SonarQube 統合の概要
GitHub Actions、Jenkins、Azure DevOps の各パイプラインで構成されている Veracode スキャンは、DevOps 変更速度管理 でサポートされています。SonarCloud と SonarQube (オンプレミス) の両方がサポートされています。
コード品質とコードセキュリティの概要結果は、変更要求の関連リストまたはServiceNowインスタンス内のパイプラインのタスク実行で確認できます。コード品質とコードセキュリティの結果を、変更ポリシーや変更自動化の条件を定義する際にも使用できます。
DevOps 変更速度管理 は、全体的なコードメトリクスと新しいコードメトリクスの両方をキャプチャします。
始めましょう
Sonar インスタンスは、アドミンまたは非アドミンの Sonar PAT を使用してオンボーディングできます。アドミン以外のユーザーのオンボーディングを有効にするには、次の手順を実行します。
- 移動先 .
- [はい] オプションを選択して、[DevOps 非アドミンソフトウェア品質サマリーフラグ] プロパティを有効にします。
SonarQube 側では、次の権限が必要です。
- アドミン PAT
- すべてのプロジェクトのスキャンを構成するための SonarQube インスタンスへのプロジェクトレベルのアクセス。
- 非アドミン PAT
-
- GitHub、GitLab、Azure DevOps パイプラインの参照権限と、スキャンが実行されるプロジェクト (プライベートとパブリックの両方) の Jenkins の分析の実行権限。
- アドミン以外のユーザーが ServiceNow にデータを取得する前に、SonarQube に分岐を作成する必要があります。詳細については、 分岐分析を参照してください。注:分岐分析を設定して、SonarCloud がメイン分岐以外のプロジェクト内の分岐を分析できるようにすることができます。SonarQube Community エディションのライセンスでは分岐分析を設定または実行できません。SonarQube Developer Edition または Enterprise Edition にアップグレードして、SonarQubeオンプレミス実装でブランチ分析を設定します。
Sonar カスタム アクションと拡張機能は、それぞれ GitHub と Azure DevOps マーケットプレースで入手できます。Jenkins の場合、Sonar スキャン結果はServiceNow Jenkinsプラグインを使用して取得します。
ServiceNow でキャプチャされたスキャン結果の詳細については、「ソフトウェア品質結果」を参照してください。
SonarQube をオンボーディングするには、次のいずれかのオプションを使用します。ガイド付きエクスペリエンスのため、ワークスペースを使用して、ツールをオンボーディングします。あるいは、サービスカタログまたはクラシックエクスペリエンスを使用できます。