Как мы внедрили SonarQube и осознали его большой потенциал / forpes.ru

Главная
Как мы внедрили SonarQube и осознали его большой потенциал

Как мы внедрили SonarQube и осознали его большой потенциал +8

19.10.2020 07:17

QtRoS 15 1500 Источник

Мы хотим поделиться опытом внедрения платформы для непрерывного анализа и измерения качества кода SonarQube в существующие процессы разработки системы ДПО (дополнение к системе депозитарно-клирингового учета «Аламеда») Национального расчетного депозитария.

Национальный расчетный депозитарий (группа компаний «Московская биржа») является одной из ключевых компаний финансовой инфраструктуры, хранит и учитывает ценные бумаги российских и иностранных эмитентов на сумму более 50 трлн руб. Растущий объем проводимых системой операций, а так же непрерывное наращивание функционала требуют поддержания высокого качества исходного кода систем. Одним из инструментов для достижения этой цели является статический анализатор SonarQube. В этой статье мы опишем успешный опыт бесшовного внедрения статического анализатора SonarQube в существующие процессы разработки нашего отдела.

Кратко об отделе

В нашей компетенции следующие модули: выплаты клиентам НРД, электронный документооборот (ЭДО), обработка сообщений торгового репозитария (регистрация внебиржевых сделок), каналы электронного взаимодействия между клиентами и НРД и многое другое. В общем, большой пласт работы над технической стороной операционной деятельности. Работаем мы на основе заявок. Заявки операционистов обрабатывается аналитиками: они собирают требования заказчика и представляет нам свое видение того, как это должно лечь в программу. Далее стандартная схема: разработка кода – тестирование – опытная эксплуатация – поставка кода на продуктивный контур непосредственному заказчику.

Почему именно SonarQube?

Это первый опыт нашего отдела по внедрению платформы для контроля качества кода – ранее мы делали это вручную, проводили лишь code review. Но растущий объем работ требует автоматизации данного процесса. Кроме этого, в составе команды есть и неопытные сотрудники, которые не совсем знакомы с внутренними регламентами разработки и склонны допускать больше ошибок. Для контроля качества кода было решено внедрять статический анализатор. Так как SonarQube уже использовался в некоторых системах НРД, долго выбирать не пришлось. Ранее коллеги из других подразделений анализировали с его помощью код микросервисов в системе «Аламеда» (собственная система депозитарно-клирингового учета НРД), в ЦФТ (информационная система для ведения бух.учета, баланса, подготовки обязательной и внутренней отчетности), в некоторых других системах. Для экспериментов мы решили начать с бесплатной версии SonarQube. Итак, перейдем к нашему кейсу.

Процесс внедрения

У нас есть:

автоматическая сборка системы в TeamCity;
настроен процесс заливки кода через MergeRequest из feature-ветки в master-ветку в GitLab (процесс разработки согласно GitHub Flow);
SonarQube, настроенный на анализ кода для системы ДПО по расписанию.

Наша цель: внедрить автоматический анализ кода в CI/CD процессы ДПО.

Надо настроить: процесс автоматической проверки кода статическим анализатором при каждом MergeRequest’e в основную ветку.

Т.е. целевая картина следующая: как только разработчик заливает изменения в feature-ветку, запускается автоматическая проверка на наличие новых ошибок в коде. Если ошибок нет, то разрешается принятие изменений, иначе придется править ошибки. Уже на начальном этапе мы смогли выявить определенное количество ошибок в коде. У системы очень гибкие настройки: ее можно настраивать таким образом, чтобы она работала под конкретные задачи разработчиков, под каждую систему и стиль программирования.

Настройка QualityGate в SonarQube

Анализ QualityGate – это вещь, которую мы вычитали в недрах интернета. Изначально мы использовали другой подход, более сложный и с какой-то стороны не совсем правильный. Сначала мы дважды запускали сканирование через SonarQube: сканировали feature-ветку и ветку, куда собирались вливать feature-ветку, а затем сравнивали количество ошибок. Этот метод не отличался стабильностью и не всегда выдавал правильный результат. А затем мы узнали, что можно вместо двойного прогона SonarQube, установить лимит на количество допущенных ошибок (QualityGate) и анализировать только ту ветку, которую ты заливаешь и сравниваешь.

Пока что еще мы используем довольно примитивную проверку кода. Стоит отметить, что SonarQube несовместим с некоторыми языками программирования, в том числе с Delphi. На данный момент для нашей системы анализируем только PLSql код.

Работает это так:

Мы анализируем для нашего проекта только PL/SQL код.
В SonarQube настроен QualityGate таким образом, чтобы количество ошибок не прибавлялось с коммитом.
Количество ошибок при первом запуске у нас вышло 229. Если ошибок при коммите становится больше, то merge не разрешается.
Далее при условии исправления ошибок можно будет перенастраивать QualityGate.
Также можно добавлять новые пункты для анализа, например, покрытие кода тестами и т.д.

Схема работы:

В комментариях работы скрипта видно что количество ошибок в feature-ветке не увеличилось. Значит все ОК.

Становится доступна кнопка Merge.

В комментариях работы скрипта видно, что количество ошибок в feature-ветке стало больше допустимого. Значит все ПЛОХО.

Кнопка Merge красная. На данный момент нет запрета на то чтобы залить изменения по ошибочному коду, но это делается на усмотрение ответственного разработчика. В дальнейшем можно запретить вносить такие коммиты в основную ветку.

Самостоятельная работа над ошибками

Далее необходимо проверить все выявленные системой ошибки, потому что SonarQube анализирует по своим строгим стандартам. Что он считает ошибкой, реально в нашем коде может таковым не являться. Поэтому нужно проверить и отметить, действительно ли это ошибка, или то, что править в наших условиях необходимости нет. Таким образом мы сокращаем количество ошибок. Со временем система научится понимать эти нюансы.

К чему мы пришли

Нашей целью было понять, целесообразно ли в нашем случае переводить проверку кода на автоматизацию. И результат оправдал ожидания. SonarQube позволяет нам работать с нужными нам языками, делает довольно грамотный анализ и имеет потенциал обучаться на подсказках разработчиков. В целом, мы довольны нашим первым опытом использования SonarQube и планируем развиваться в этом направлении дальше. Ожидаем, что в будущем мы сможем экономить больше времени и сил на проверку кода и сделать ее более качественной, устранив человеческий фактор. Возможно, в процессе мы обнаружим недостатки платформы или, наоборот, убедимся еще раз, что это крутая вещь с большим потенциалом.

В этой обзорной статье мы рассказали о нашем знакомстве со статическим анализатором SonarQube. Если у вас есть вопросы, пишите, пожалуйста, в комментариях. Если вам интересна эта тема, в новой публикации мы уже подробнее опишем, как правильно все настроить и написать код, чтобы делать подобную проверку.

Автор текста: atanya

Комментарии (15)

chemtech
19.10.2020 11:37
#22197348
+1
Спасибо за пост. Планируете ли выкладывать в opensource ваш скрипт dpo_sonarqube.py ?
1. QtRoS Автор
  19.10.2020 16:14
  #22198814
  Чуть позднее вернемся с ответом на этот вопрос. Вероятно да, сможем поделиться выжимкой — нужно небольшое ревью кода на предмет наличия непубличной информации.
1. QtRoS Автор
  19.10.2020 17:30
  #22199308
  Отправил исходник в ЛС. Если кому-то еще интересно — можем точечно поделиться!
  1. maximgorbatyuk
    20.10.2020 08:14
    #22201682
    Почему бы сразу не выложить его в gist.github в публичный доступ, если в нем нет конфиденциальной информации? Ведь вы уже готовы делиться "точечно" с рандомными людьми из интернета
    
    QtRoS Автор
    20.10.2020 10:48
    #22202246
    Спасибо за предложение: в комментарии было бы неудобно поддерживать, полноценный репозиторий заводить оверкилл, а gist действительно хорошо подходит. Ссылка на файл.
    
    maximgorbatyuk
    20.10.2020 12:48
    #22202926
    спасибо

x0rHamster
19.10.2020 12:08
#22197470
+2
Почему-то мне кажется, что это мнение непопулярно, но все же. Вы собирали/будете собирать метрики, как статические анализаторы и Sonar в частности влияют на ваш продукт (например, количество ошибок на продакшне, количество откатов etc), или же пока вы основываетесь только на мнениях «статические анализаторы — это безусловно хорошо» и «пайплайн сборки все еще короткий, не раздражает — пусть будет шаг анализатора»? Этот вопрос станет особенно актуален, если вы решите приобрести лицензию Sonar'а
1. QtRoS Автор
  19.10.2020 13:06
  #22197760
  Спасибо за обстоятельный вопрос — он натолкнул на идею рассказать о том, какими метриками мы пользуемся в плане измерения качества ПО/Релизов. Метрики ведутся, но нужно время, чтобы набрать значимую статистику. Ближайшая же цель, как упоминалось в статье, заключается в предотвращении роста количества ошибок и объема часов технического долга — это понятные руководству метрики.
  1. x0rHamster
    20.10.2020 14:18
    #22203498
    Вы правильно заметили в статье, у Sonar'а очень много правил, начиная от серьезных ошибок и заканчивая code smell'ами
    
    Появление серьезной ошибки на продакшне — событие неприятное, но достаточно редкое. Статический анализатор даст еще одну степень защиты и снизит риски потерь (компании, клиентов) ценой постоянно отнимаемых минут пайплайна и стоимости лицензии (если таковая была приобретена)
    
    Code smell'ы — еще более непонятная история, которая на бумаге должна повышать читаемость кода и тем самым также снижать риски появления ошибок на проде, но на практике может свестись к разметке нарушений а-ля «имена аргументов в имплементации должны соответствовать именам в интерфейсе» justification'ами «здесь удобней поступить иначе потому-то и потому-то» (вырожденный случай, когда разработчики согласны с большинством случаев срабатывания правила, но и оспаривают заметную их часть). Посчитать пользу этих действий, особенно в цифрах — задача нетривиальная
    
    Когда мы добавляли Sonar к нашим проектам, мы задумались, как доказать другим и самим себе, что статические анализаторы действительно приносят пользу — что с ними лучше, чем без них. Да, Sonar выдает собственные метрики вроде количества нарушений, но техдолг техдолгу рознь — мы не все продуктовые ошибки готовы исправлять (на trivial'ы, которые беспокоят 1% клиентов, порой можно и забить), и управление техническим долгом не должно становиться исключением — важен баланс между затраченным временем и купированными рисками. Отталкиваться от аксиомы «статические анализаторы — это безусловно хорошо» нам не понравилось, хочется конкретики :)
    
    QtRoS Автор
    20.10.2020 16:41
    #22204040
    Отвечу Вам в шляпе пользователя Хабра, а не сотрудника НРД :)
    
    Появление серьезной ошибки на продакшне — событие неприятное, но достаточно редкое
    Мне кажется это от проекта и от команды зависит — случалось мне, будучи еще студентом, запустить простецкий CppCheck на совокупности проектов довольно амбициозных C-шников-одиночек. Там нашлось много критических UB и ошибок при работе с памятью. Ох и негативо же это было воспринято, как будто в чужую личную жизнь вторгся. И наоборот, бывают команды, которые своим кодом гордятся, и готовы даже в овертайм приложить немного дополнительных усилий за зеленый значок "А" в SonarQube (готов поспорить, что у таких и до внедрения сонаркуба все прекрасно в коде). Есть ли от этого измеримая выгода? Можно ли посчитать цифрами мотивацию разработчиков? Это очень трудные вопросы, могу за себя сказать, что моя команда была хэппи, когда проверились, отсекли ложные срабатывания и получили заслуженный "ОК"! Так же руководству приятно видеть, что проект "здоров" с точки зрения независимой экспертизы (не на словах).

nixel
19.10.2020 12:29
#22197560
+1
Зачем так сложно — с detached пайплайнами, собственными скриптами на питоне и проч? Почему не взять готовые рецепты по анализу гитлабовских бранчей, бесплатный бранч-плагин (раз нет SonarQube Developer Edition), и не сделать по подходу, описанному в документации? Зачем триггерить сборку из GitLab CI, если для сборки все равно используется TeamCity? Если есть возможность запускать gitlab ci, то зачем тогда teamcity?
1. tarbaevPy
  19.10.2020 20:48
  #22200294
  +1
  Данное решение является первым, так как необходимо было в короткие строки реализовать проверку мердж риквестов с помощью SonarQube, а в TeamCity уже имелась настроенная конфигурация для всех необходимых проектов и было принято решение использовать их. На данный момент приступили к изучению возможностей бранч-плагина для последующего его внедрения в наши проекты.

iluvar
20.10.2020 00:42
#22201180
+1
Привет.

При подходе "SonarQube настроен QualityGate таким образом, чтобы количество ошибок не прибавлялось с коммитом" вы попадаете в ситуацию, когда можно исправить несколько ошибок и сделать столько же новых ошибок, и проверка пройдет, это так же плохо. И после каждой исправленной ошибки придется уменьшать счетчик.

Замечу, что в платной версии Sonarqube описанных недостатков нет — в нем есть поддержка multibanch и проверка merge request.
- multibanch позволяет делать проверки разных веток в одном проекте в разрезе статистики по каждой ветке
- проверка merge request позволяет сравнить изменения в количестве ошибок не с результатом проверки вашей фиче-ветки, а с ошибками ветки, в которую вливаем (то, что вы решали двойным прогоном)
По Gitlab CI: в целом достаточно использовать штатный cli (sonar-scanner) и REST API:
```
  image:
    name: laptevss/sonar-scanner-cli:4.4-ru-jdk14
  stage: sonarqube
  variables:
    GIT_DEPTH: 0
    SONAR_HOST_URL: http://sonarqube.company.com
    SONAR_PROJECT_BASE_DIR: ${CI_PROJECT_DIR}
    SONAR_TOKEN: ${SONAR_TOKEN_CI}
    SONAR_USER_HOME: "${CI_PROJECT_DIR}/.sonar"
    SONAR_MY_OPTS: -Dsonar.sourceEncoding=UTF-8 -Dsonar.qualitygate.wait=true
  script:
    - sonar-scanner ${SONAR_MY_OPTS} -Dsonar.projectKey=${SONAR_PROJECT_KEY} -Dsonar.projectName=${CI_PROJECT_PATH}-${CI_COMMIT_REF_SLUG} -Dsonar.projectVersion=${CI_COMMIT_REF_SLUG}-${CI_COMMIT_SHORT_SHA}
    - export SONARQUBE_STATUS=$(curl -s "${SONAR_HOST_URL}/api/qualitygates/project_status?projectKey=${SONAR_PROJECT_KEY}" | jq -r .projectStatus.status)
```
1. vassabi
  21.10.2020 01:24
  #22205932
  +1
  jq -r .projectStatus.status
  
  (заинтересовался — что это за зверь такой, не самописный ли, перечитал маны — впечатлился) однако крутой тул для JSON-ов!
1. nixel
  21.10.2020 12:05
  #22207478
  Поддержку бранчей и декорацию пулл-реквестов можно завести и на комьюнити сонаре: github.com/mc1arke/sonarqube-community-branch-plugin

Как мы внедрили SonarQube и осознали его большой потенциал +8

Кратко об отделе

Почему именно SonarQube?

Процесс внедрения

Настройка QualityGate в SonarQube

Самостоятельная работа над ошибками

К чему мы пришли

Комментарии (15)

QtRoS Автор

QtRoS Автор

QtRoS Автор

QtRoS Автор

QtRoS Автор