LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@xibuka(Wenhan Shi)

AI生成コードの品質向上!SonarQube IDEの活用術

Posted at

AIが生成したコード、便利だけど、その品質に不安を感じていませんか?OWASP Top 10に挙げられるようなセキュリティ脆弱性や、潜在的なバグを含んでいるリスクを無視できません。その課題を解決するのが、SonarQube IDEです。以前はSonarLintと呼ばれていましたが、現在はより包括的な静的コード解析ツールとして進化しました。

本記事では、このSonarQube IDEを使ってAI生成コードの品質を担保し、開発ワークフローを効率化する方法を解説します。

SonarQube IDEをVS Codeにインストール

SonarQube IDE はいろんなIDE(VS Code, Cursor, Windsurf, Trae, JetBrains, Eclipseなど)にデプロイすることができます。ここではVS Codeを例として手順を説明します。

やり方はとても簡単で、VS Codeの拡張機能マーケットプレイスからSonarQubeを検索し、Installをクリックするだけです。

image.png

インストールが完了したら、すぐ効果を発揮することができます。リアルタイムでコーティングの中に出てくる問題を指摘します。

image.png

しかしAI生成コードの場合はどうしよう?次に実際にコードを生成して分析可能かをみてみます。

AI生成コードの分析

VScodeでターミナルを開いて、Claude CodeでSonarQubeのロゴを3Dに表示するWebページを作ってもらいましょう

create a webpage which can show the sonarqube logo in 3d pixel style using threeJS. The page need to be interactiveabe like zoom in and out. Make the page a clear production-ready and detailed the pixel looks.

image.png

しばらくすると、index.htmlが作られ、以下のように3D SonarQube(っぽいw)の表示ができました!イエーイっw
SonarQube3D.gif

Webページのクオーリティを一旦置いといて、ソースコードの品質を確認しましょう。ここで登場するのは、SonarQube IDEです。トップメニューのViewからSONARQUBEの画面を開いて、このindex.htmlに潜んでいるエラーや脆弱性を検出することはできました。また、問題点をクリックすると、新しいWindowが開かれ、この問題を解決するためのWorkaroundが表示されています。

image.png

問題になった箇所を一つ選んで確認しましょう、エラーが発生した時に曖昧なログしか出力され、しかもエラーに関する対策もしない状態となっています。Webページが通常に表示されていますが、エラー対策は行なっていないため、品質向上のため修正が必要ですね。

            try {
                return chargeCard(amount, cardNumber);
            } catch (error) {
                console.log("Error occurred"); 
                return false;
            }

まとめ

この記事では、AIが生成したコードの品質を向上させるSonarQube IDEの基本的な使い方を解説しました。単にツールをインストールし、AIが作ったコードを解析するだけで、セキュリティ脆弱性や潜在的なバグを瞬時に検知できることがおわかりいただけたかと思います。SonarQube IDEは、問題箇所の指摘だけでなく、具体的な解決策も提示してくれるため、AIとの協業をより安全かつ効率的に進める上で不可欠なツールです。

その他の活用方法:より踏み込んだ品質管理へ

本記事では、SonarQube IDEを単体で使う最も簡単な方法に焦点を当てましたが、このツールの真価は、SonarQubeサーバーと連携することで最大限に発揮されます。

1. チームでのコード品質管理
SonarQube IDESonarQubeサーバーと接続すると、チーム全体のコード品質を一元管理できます。各メンバーがローカルで解析した結果をサーバーに集約し、プロジェクト全体のテクニカルデットセキュリティリスクを可視化できます。これにより、個々のコードレビューだけでなく、プロジェクト全体の健全性を継続的にモニタリングすることが可能になります。

2. CI/CDパイプラインとの統合
SonarQubeは、JenkinsGitHub ActionsといったCI/CDツールと簡単に統合できます。ビルドのたびに自動的にコードをスキャンし、品質基準(Quality Gate)を満たさない場合はビルドを失敗させるなど、品質を確保するための自動化されたワークフローを構築できます。これにより、脆弱性のあるコードやバグが本番環境にデプロイされるのを未然に防ぎます。

3. 詳細な品質レポートとトレンド分析
SonarQubeサーバーは、プロジェクトのコード品質に関する詳細なレポートやトレンド分析機能を提供します。時間の経過とともにテクニカルデットがどのように変化しているか、新たな脆弱性がどれだけ増えているかなどをグラフで確認できます。これにより、チームのコード品質改善活動の効果を客観的に評価し、次のアクションプランを立てることが容易になります。

SonarQube IDEは、単なるIDEプラグインではなく、SonarQubeというエコシステムの中核をなすツールです。AIとの開発が日常となるこれからの時代、あなたのコードベースを守るための強力な武器として、ぜひこれらの機能も活用してみてください。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?