SonarQube también permite importar los informes SARIF (Static Analysis Results Interchange Format). El estándar SARIF se usa para regular cómo comparten sus resultados las herramientas de análisis estático.

¿Qué hacer con las tareas que generan analizadores externos? Lo mismo que con las que genera SonarQube, ya que comparten el mismo ciclo de vida. Las tareas importadas se resuelven igual que las generadas por análisis, pudiendo asignar a técnicos, dejar éstos los comentarios necesarios y resolverlas con una de las posibles resoluciones que ofrece SonarQube. Conviene tener en cuenta que esta resolución no es bidireccional, es decir, la tarea sólo queda resuelta en la instancia de SonarQube, no en la herramienta externa.

En la versión 10.3, estas tareas externas se pueden categorizar con la taxonomía de Código Limpio como una de las nuevas funcionalidades que incorpora la aplicación. Esto supone que, además de conocer la severidad de los defectos que identifique el escáner en un análisis, ahora podemos clasificarlos también en base a 4 criterios:

• Consistente: El código ha de mantener un estilo común a lo largo de todo el listado, aun cuando varios desarrolladores trabajen el él. De este modo se favorece la legibilidad y entendimiento del mismo.
• Intencional: El código debe ser lo bastante claro como para que al leerlo se entienda perfectamente su propósito. Por tanto, debe explicarse por sí solo y tener una única interpretación, sin dar pie a la ambigüedad.
• Adaptable: El código ha de procurar minimizar los duplicados con respecto a otros bloques de código. El exceso de duplicidad aumenta la complejidad, lo que no solo no favorece su mantenimiento, sino que lo empeora en el largo plazo. Además, debe ser modular y facilitar su encapsulación para poder importarse desde otras áreas del desarrollo.
• Responsable: El código ha de estar plasmado con los principios éticos y obligaciones legales que ha de mantener el desarrollador en mente. Debe asegurar el debido tratamiento y protección de los datos sensibles y evitar vulnerabilidades y riesgos.

Con estas 4 categorías, antes implementadas en la versión anterior y ahora llevadas a la versión 10.3, no solo podemos mantener bajo control las tareas y resultados de herramientas externas, sino también verificar que el proyecto se ajusta a los principios de Código Limpio. SonarQube se ofrece así como la herramienta principal donde reunir todas las conclusiones sobre la calidad de nuestro software.

En Inlogiq ofrecemos proyectos de análisis de código estático y compilado con SonarQube, entre otros servicios de calidad de software e implantación de las herramientas Atlassian, todo con el objetivo de ayudarte a mejorar tus proyectos. Consúltanos cualquier cuestión en nuestras vías de contacto.