SonarQube – análise estática de código Flashcards
(11 cards)
O que é análise estática de código?
É o processo de avaliar o código-fonte sem executá-lo, buscando erros, vulnerabilidades, más práticas, complexidade e duplicações.
Para que serve a análise estática?
Identificar problemas precocemente, melhorar a qualidade, manutenibilidade, segurança e legibilidade do software.
Exemplo de problemas detectáveis por análise estática
Código morto
Duplicações
Falta de tratamento de exceções
SQL Injection (em potencial)
Nomes confusos ou complexidade ciclomática elevada
O que é o SonarQube?
É uma ferramenta de código aberto para análise estática de código que ajuda a detectar bugs, vulnerabilidades e code smells de forma automática.
Linguagens suportadas pelo SonarQube
Java, JavaScript, Python, C, C++, PHP, TypeScript, Kotlin, entre muitas outras (mais de 25 linguagens).
Como o SonarQube funciona?
Desenvolvedor escreve o código
Código é analisado pelo Scanner do SonarQube
Resultado vai para o Dashboard Web com indicadores visuais
Métricas analisadas pelo SonarQube
Bugs: Erros que afetam a lógica
Vulnerabilities: Possíveis brechas de segurança
Code Smells: Más práticas de codificação
Coverage: Cobertura de testes
Duplications: Trechos de código repetido
O que são code smells?
São “cheiros” de código problemático — práticas que não são bugs, mas indicam fragilidade ou má manutenção futura.
Tipos de análise em SonarQube
Análise Local (no próprio computador com SonarScanner)
CI/CD (integração contínua, como Jenkins ou GitLab CI)
Benefícios de usar o SonarQube
Automatização da análise de qualidade
Ajuda na padronização da equipe
Melhora a confiabilidade do código antes de ir para produção
SonarQube é análise estática ou dinâmica?
Estática. Não executa o código, apenas lê o fonte. Pode ser complementado com testes e análise dinâmica por outras ferramentas.
