PR の目的

SonarQubeクライアントを最新版に更新して静的解析の精度を上げます。

カテゴリ

• その他の問題

PR の背景

静的解析ツール「SonarQubeクライアント」の新しいバージョンがリリースされています。

外部ツールもプログラムなので、バージョンアップによって機能が向上したり不具合が解消したりします。

PR のメリット

PR のデメリット (トレードオフとかあれば)

仕様・動作説明

GitHub Actionsで静的解析を実行するスクリプト「sonarscan.yml」は、
Sonar Qubeクライアントのバージョンを環境変数で定義しておき、
静的解析キャッシュのキーとダウンロードファイルのパスに使われるように作ってあります。

1. SONAR_QUBE_VERSIONの定義を変える。
2. 静的解析キャッシュのキーが変わるので、キャッシュが使われなくなる。
3. キャッシュがないので新しいzipファイルをダウンロードする。
4. 変更されたキーに対して、新しいキャッシュが保存される。

厳密には、バージョンアップによって他も変えられるようになっているかも知れませんが、今回はバージョン変更のみで対応します。

静的解析キャッシュが使われない関係で、直近30日間にマージされた変更差分が再チェックされます。
Security Hotspotが3件、Code Smellsが5件検出されますが、PRの趣旨と関係ないため対応しません。

PR の影響範囲

SonarCloudの解析結果に影響する変更です。

テスト内容

アプリの機能変更がないため、ローカルのGitHub Actionsを実行したのみです。

関連 issue, PR

参考資料