Intégrer Docker Scout avec SonarQube

L'intégration SonarQube permet à Docker Scout de faire remonter les vérifications de porte de qualité SonarQube via l'Évaluation de Politique, sous une nouvelle Politique de Portes de Qualité SonarQube.

Comment ça fonctionne

Cette intégration utilise les webhooks SonarQube pour notifier Docker Scout de la fin d'une analyse de projet SonarQube. Quand le webhook est appelé, Docker Scout reçoit les résultats d'analyse, et les stocke dans la base de données.

Lorsque vous poussez une nouvelle image vers un dépôt, Docker Scout évalue les résultats de l'enregistrement d'analyse SonarQube correspondant à l'image. Docker Scout utilise les métadonnées de provenance Git sur les images, à partir d'attestations de provenance ou d'une annotation OCI, pour lier les dépôts d'images avec les résultats d'analyse SonarQube.

Note

Docker Scout n'a pas accès aux enregistrements d'analyse SonarQube historiques. Seuls les résultats d'analyse enregistrés après l'activation de l'intégration seront disponibles pour Docker Scout.

Les instances SonarQube auto-gérées et SonarCloud sont supportées.

Prérequis

Pour intégrer Docker Scout avec SonarQube, assurez-vous que :

• Votre dépôt d'images est intégré avec Docker Scout.
• Vos images sont construites avec des attestations de provenance, ou l'annotation org.opencontainers.image.revision, contenant des informations sur le dépôt Git.

Activer l'intégration SonarQube

1. Allez à la page d'intégrations SonarQube sur le Tableau de bord Docker Scout.

2. Dans la section Comment intégrer, entrez un nom de configuration pour cette intégration. Docker Scout utilise cette étiquette comme nom d'affichage pour l' intégration, et pour nommer le webhook.

3. Sélectionnez Suivant.

4. Entrez les détails de configuration pour votre instance SonarQube. Docker Scout utilise ces informations pour créer le webhook SonarQube.

   Dans SonarQube, générez un nouveau Jeton utilisateur. Le jeton nécessite la permission 'Administrer' sur le projet spécifié, ou la permission globale 'Administrer'.

   Entrez le jeton, votre URL SonarQube, et l'ID de votre organisation SonarQube. L'organisation SonarQube est requise si vous utilisez SonarCloud.

5. Sélectionnez Activer la configuration.

   Docker Scout effectue un test de connexion pour vérifier que les détails fournis sont corrects, et que le jeton a les permissions nécessaires.

6. Après un test de connexion réussi, vous êtes redirigé vers l'aperçu d'intégration SonarQube, qui liste toutes vos intégrations SonarQube et leurs statuts.

À partir de la page d'aperçu d'intégration, vous pouvez aller directement à la Politique de Portes de Qualité SonarQube. Cette politique n'aura aucun résultat initialement. Pour commencer à voir les résultats d'évaluation pour cette politique, déclenchez une nouvelle analyse SonarQube de votre projet et poussez l' image correspondante vers un dépôt. Pour plus d'informations, référez-vous à la description de politique.