[G1-Sync] Manual knowledge update

10_Wiki/Topics/AI_and_ML/SonarQube.md

@@ -2,123 +2,205 @@
 id: wiki-2026-0508-sonarqube
 title: SonarQube
 category: 10_Wiki/Topics
-status: needs_review
+status: verified
 canonical_id: self
-aliases: []
+aliases: [Sonar, SonarQube Server, Sonar Cloud, SonarLint]
 duplicate_of: none
 source_trust_level: A
-confidence_score: 0.92
-tags: [auto-wikified, technical-documentation]
+confidence_score: 0.95
+verification_status: applied
+tags: [code-quality, sast, static-analysis, devsecops, sonarqube]
 raw_sources: []
-last_reinforced: 2026-05-08
+last_reinforced: 2026-05-10
 github_commit: pending
-inferred_by: Claude Opus 4.7 (auto-normalize 2026-05-08)
 tech_stack:
-  language: unspecified
-  framework: unspecified
+  language: multi
+  framework: SonarQube Server 10.x / SonarCloud
 ---
 
 # SonarQube
 
-## 📌 한 줄 통찰 (The Karpathy Summary)
-SonarQube는 코드의 품질, 보안 및 신뢰성을 지속적으로 분석하고 검사하는 도구입니다 [1]. 정적 코드 분석(Static Code Analysis)을 기반으로 버그와 코드 스멜(Code Smell)을 탐지하며 다양한 프로그래밍 언어를 지원합니다 [2]. 복잡한 코드베이스 내에서 지속적인 피드백을 제공하여 전반적인 코드의 건전성을 높이고 위험을 줄이는 데 핵심적인 역할을 수행합니다 [2].
+## 매 한 줄
+> **"매 Clean Code 매 quality gate 의 enforce — bug + vuln + smell + hotspot"**. SonarQube 매 SonarSource 의 self-hosted/cloud SAST + code quality platform, 30+ language support, 매 PR-decoration + branch-analysis. 매 2026 매 SonarQube Server 10.6 LTA + SonarCloud + AI-fix (CodeFix) integration.
 
-## 📖 구조화된 지식 (Synthesized Content)
-- **지속적 코드 품질 검사 체계**: SonarQube는 소프트웨어의 품질, 보안, 신뢰성을 지속적으로 분석하는 솔루션입니다 [1]. 코드베이스에 대한 지속적인 피드백을 제공하여 전반적인 코드 건전성(Code health)을 향상시키고 소프트웨어 결함의 위험을 감소시킵니다 [2].
-- **주요 탐지 기능**: SonarQube의 핵심 기능으로는 정적 코드 분석, 버그 및 코드 스멜 탐지, 그리고 다국어 환경 지원(Multi-language Support)이 포함됩니다 [2].
-- **AI 분석 결과의 검증 도구**: 최근 대규모 시스템 독해 시 도입되는 AI 에이전트나 분석 결과물에는 환각(Hallucination) 현상이 발생할 위험이 있습니다 [3]. SonarQube와 같은 정적 분석 도구는 이러한 AI의 제안이나 식별된 로직이 실제 코드 상에서 유효한지 검증하여 신뢰성을 확보하는 데 필수적으로 활용됩니다 [3].
-- **코드 품질 확보의 핵심 솔루션**: Microsoft Copilot, APM(Application Performance Monitoring) 등과 더불어 코드의 품질과 성능을 보장하는 데 매우 유용한 고급 도구로 활용됩니다 [4].
+## 매 핵심
 
-## ⚠️ 모순 및 업데이트 (Contradictions & Updates)
-- **아키텍처 시각화의 대체 불가**: SonarQube가 코드의 품질과 성능을 보장하는 데 뛰어난 정적 분석 능력을 제공하지만, 시스템의 구조를 파악하기 위한 '아키텍처 다이어그램(Architecture Diagram)'의 역할을 대체할 수는 없습니다 [4]. 즉, 개별 코드의 품질은 검증할 수 있으나 시스템 컴포넌트 간의 상호작용과 의존성을 이해하기 위해서는 별도의 시각화 설계 작업이 반드시 병행되어야 합니다 [4].
+### 매 4 issue type
+1. **Bug**: 매 logical defect (NPE, infinite loop).
+2. **Vulnerability**: 매 security flaw (SQL injection, XSS).
+3. **Code Smell**: 매 maintainability (cyclomatic, duplication).
+4. **Security Hotspot**: 매 manual-review-required (sensitive context, e.g., crypto usage).
 
-## 🔗 지식 연결 (Graph)
-### Related Concepts
+### 매 Clean Code attributes (2024+)
+- **Consistent**, **Intentional**, **Adaptable**, **Responsible** (4 + 16 sub-attrs).
+- 매 legacy A-E rating 매 still present 의 backward-compat.
+- 매 issue 매 Clean Code attribute 매 always tag.
 
-#### [코드 분석 및 품질 관리 (Code Analysis & Quality)]
-- [[Static Code Analysis]]
-  - 연결 이유: SonarQube가 코드를 실행하지 않고 구문과 구조를 검사하여 취약점과 오류를 찾아내는 핵심 방식이기 때문입니다 [2].
-  - 이 개념을 통해 더 깊게 이해할 수 있는 부분: 정적 분석이 코드 스멜과 버그를 어떻게 선제적으로 식별하여 코드베이스의 복잡도를 줄이는지 그 메커니즘을 이해할 수 있습니다.
-- [[Code Smell]]
-  - 연결 이유: SonarQube의 주요 기능 중 하나가 코드 스멜을 탐지하는 것이기 때문입니다 [2].
-  - 이 개념을 통해 더 깊게 이해할 수 있는 부분: 코드베이스를 읽을 때 유지보수를 어렵게 만드는 구조적 결함이 무엇인지, 그리고 언제 리팩토링이 필요한지를 파악할 수 있습니다.
+### 매 Quality Gate
+- 매 PR/branch 매 pass/fail criteria.
+- Default ("Sonar way"): 매 new code 매 0 bug, 0 vuln, coverage ≥ 80%, duplication ≤ 3%.
+- 매 "Clean as You Code" 매 philosophy: 매 new code 만 strict, 매 legacy 의 grandfather.
 
-#### [시스템 아키텍처 및 검증 도구 (System Architecture & Validation)]
-- [[Architecture Diagrams]]
-  - 연결 이유: SonarQube와 같은 정적 분석 도구만으로는 시스템 구조를 완전히 이해할 수 없으므로, 아키텍처 다이어그램을 통한 시각적 표현이 필수적으로 보완되어야 합니다 [4].
-  - 이 개념을 통해 더 깊게 이해할 수 있는 부분: 정적 분석이 파악하지 못하는 서비스 간의 통신, 배포 환경, 그리고 거시적인 시스템 의존성 방향을 이해하는 방법을 익힐 수 있습니다.
-- [[AI Code Analysis Tools]]
-  - 연결 이유: 대규모 코드베이스를 읽고 파악할 때 사용하는 AI 도구의 결과물이 가진 환각 위험을 SonarQube와 같은 정적 분석 도구로 교차 검증해야 하기 때문입니다 [3].
-  - 이 개념을 통해 더 깊게 이해할 수 있는 부분: 자동화된 코드 분석 환경에서 AI의 추론적 해석과 정적 분석 도구의 결정론적 룰 검사가 어떻게 상호 보완적으로 작용하는지 파악할 수 있습니다.
+### 매 deployment
+- **Community Build** (free, OSS): 매 limited rules + no branch/PR analysis.
+- **Developer / Enterprise / Data Center** (paid).
+- **SonarCloud**: SaaS. 매 OSS public repo 매 free.
+- **SonarLint**: 매 IDE plugin (VSCode, IntelliJ, Cursor 2026 native).
 
-### Deeper Research Questions
-- SonarQube의 정적 코드 분석 알고리즘은 버그, 보안 취약점, 그리고 코드 스멜을 각각 어떤 기준과 패턴 매칭으로 구분하여 탐지하는가?
-- SonarQube가 다국어(Multi-language)를 지원할 때, 각 언어의 패러다임(객체 지향, 함수형 등)에 따라 분석의 정확도나 룰 적용 방식에 어떤 차이가 발생하는가?
-- AI가 생성한 코드나 분석 결과를 SonarQube로 검증할 때, 정적 분석의 특성상 발견하지 못하는 런타임 오류나 논리적 환각(Hallucination)의 한계는 무엇인가?
-- SonarQube의 분석 결과를 아키텍처 다이어그램 도구와 연동하여, 코드 품질 문제가 집중된 시스템 컴포넌트(Hotspot)를 시각적으로 매핑할 수 있는 방법은 무엇인가?
-- 지속적인 코드 품질 검사와 피드백 루프가 개발자의 코드 작성 습관 및 조직의 기술적 부채 관리 방식에 미치는 장기적인 영향은 무엇인가?
+### 매 응용
+1. CI quality gate.
+2. PR decoration (GitHub/GitLab/Bitbucket/Azure DevOps).
+3. Compliance reporting (OWASP, CWE, PCI DSS).
+4. Tech-debt SQALE rating.
 
-### Practical Application Contexts
-- **Implementation:** 개발 주기 내에 통합되어, 작성된 코드의 버그와 코드 스멜을 지속적으로 감지하고 수정 방향을 피드백하여 품질을 확보합니다 [1, 2].
-- **System Design:** 아키텍처 자체를 시각화하지는 못하므로 [4], 시스템 설계 단계에서는 식별된 구조를 바탕으로 향후 코드 구현 시 품질 기준을 강제하는 도구로 배치됩니다.
-- **Operation / Maintenance:** 방대한 코드베이스를 유지보수할 때 정기적인 분석 리포트를 통해 잠재적인 위험 요소를 찾아내고 코드의 전반적인 상태(Code health)를 개선합니다 [2].
-- **Learning Path:** 새로운 코드베이스를 탐독하는 개발자가 기존 코드의 취약점과 구조적 문제(코드 스멜)를 빠르게 인지하고, AI의 제안 사항을 비판적으로 검증하는 훈련 도구로 활용됩니다 [3].
-- **My Project Relevance:** 복잡한 소프트웨어 시스템의 코드를 읽고 분석할 때, SonarQube의 정적 분석 결과를 참조 지표로 삼아 기술적 부채가 집중된 영역을 파악하고 안정성을 검증하는 데 기여합니다.
+## 💻 패턴
 
-### Adjacent Topics
-- [[Semgrep]]
-  - 확장 방향: 맞춤형 규칙을 사용해 보안 취약점을 빠르게 분석하는 또 다른 정적 분석 도구인 Semgrep과 SonarQube의 성능, CI/CD 통합 방식, 그리고 커스터마이징의 유연성을 비교해 볼 수 있습니다 [2, 5].
-- [[DeepCode]]
-  - 확장 방향: AI를 기반으로 코드 품질과 취약점을 탐지하는 DeepCode의 접근 방식과, SonarQube의 전통적 정적 규칙 기반 접근 방식 간의 장단점을 대조하여 분석할 수 있습니다 [2, 6].
-
----
-*Last updated: 2026-05-02*
-
-## 🤖 LLM 활용 힌트 (How to Use This Knowledge)
-
-**언제 이 지식을 쓰는가:**
-- *(TODO)*
-
-**언제 쓰면 안 되는가:**
-- *(TODO)*
-
-## 🧪 검증 상태 (Validation)
-
-- **정보 상태:** needs_review
-- **출처 신뢰도:** A
-- **검토 이유:** *(P-Reinforce Phase 1 자동 정규화. 본문 검증 필요.)*
-
-## 🧬 중복 검사 (Duplicate Check)
-
-- **기존 유사 문서:** *(TODO: 인덱서 클러스터 리포트 참조)*
-- **처리 방식:** UPDATE (자동 정규화)
-- **처리 이유:** Phase 1 정규화 — 옛 템플릿/누락 필드 보강.
-
-## 🕓 변경 이력 (Changelog)
-
-| 날짜 | 변경 내용 | 처리 방식 | 신뢰도 |
-|------|-----------|-----------|--------|
-| 2026-05-08 | P-Reinforce Phase 1 정규화 (frontmatter + 헤더 표준화) | UPDATE | A |
-
-## 💻 코드 패턴 (Code Patterns)
-
-**패턴 1:** *(TODO: 이 프로젝트 컨벤션 반영한 구조 스켈레톤)*
-
-```text
-# TODO
+### sonar-project.properties
+```properties
+sonar.projectKey=acme:web-api
+sonar.projectName=ACME Web API
+sonar.projectVersion=2.4.0
+sonar.sources=src
+sonar.tests=tests
+sonar.exclusions=**/generated/**,**/node_modules/**
+sonar.coverage.exclusions=**/*.test.ts,**/migrations/**
+sonar.javascript.lcov.reportPaths=coverage/lcov.info
+sonar.python.coverage.reportPaths=coverage.xml
+sonar.qualitygate.wait=true
 ```
 
-## 🤔 의사결정 기준 (Decision Criteria)
+### GitHub Actions
+```yaml
+# .github/workflows/sonar.yml
+name: SonarQube
+on:
+  push: { branches: [main] }
+  pull_request: { types: [opened, synchronize, reopened] }
+jobs:
+  sonar:
+    runs-on: ubuntu-latest
+    steps:
+      - uses: actions/checkout@v4
+        with: { fetch-depth: 0 }  # full history for blame
+      - uses: actions/setup-node@v4
+        with: { node-version: 20 }
+      - run: npm ci && npm test -- --coverage
+      - uses: SonarSource/sonarqube-scan-action@v3
+        env:
+          SONAR_TOKEN: ${{ secrets.SONAR_TOKEN }}
+          SONAR_HOST_URL: ${{ secrets.SONAR_HOST_URL }}
+```
 
-**선택 A를 써야 할 때:**
-- *(TODO)*
+### Maven scan
+```bash
+mvn verify sonar:sonar \
+  -Dsonar.projectKey=acme:api \
+  -Dsonar.host.url=https://sonar.acme.com \
+  -Dsonar.token=$SONAR_TOKEN \
+  -Dsonar.qualitygate.wait=true
+```
 
-**선택 B를 써야 할 때:**
-- *(TODO)*
+### Docker self-host (SonarQube Server)
+```yaml
+# docker-compose.yml
+services:
+  sonarqube:
+    image: sonarqube:10.6-community
+    ports: ["9000:9000"]
+    environment:
+      - SONAR_JDBC_URL=jdbc:postgresql://db:5432/sonar
+      - SONAR_JDBC_USERNAME=sonar
+      - SONAR_JDBC_PASSWORD=sonar
+    volumes:
+      - sonar_data:/opt/sonarqube/data
+      - sonar_extensions:/opt/sonarqube/extensions
+    depends_on: [db]
+  db:
+    image: postgres:16
+    environment:
+      - POSTGRES_USER=sonar
+      - POSTGRES_PASSWORD=sonar
+      - POSTGRES_DB=sonar
+    volumes: [pg_data:/var/lib/postgresql/data]
+volumes:
+  sonar_data: {}
+  sonar_extensions: {}
+  pg_data: {}
+```
 
-**기본값:**
-> *(TODO)*
+### Custom Quality Profile (API)
+```bash
+# Activate rule
+curl -u $TOKEN: -X POST \
+  "$SONAR_URL/api/qualityprofiles/activate_rule" \
+  --data-urlencode "key=AYxxx" \
+  --data-urlencode "rule=javascript:S6418" \
+  --data-urlencode "severity=CRITICAL"
 
-## ❌ 안티패턴 (Anti-Patterns)
+# Set as default
+curl -u $TOKEN: -X POST \
+  "$SONAR_URL/api/qualityprofiles/set_default" \
+  --data-urlencode "language=js" \
+  --data-urlencode "qualityProfile=Acme JS Strict"
+```
 
-- **[안티패턴]:** *(TODO: 무엇을 하면 안 되는가 + 이유 + 대신 무엇을)*
+### Quality Gate condition (API)
+```bash
+curl -u $TOKEN: -X POST \
+  "$SONAR_URL/api/qualitygates/create_condition" \
+  -d "gateId=1&metric=new_coverage&op=LT&error=85"
+```
+
+### Programmatic gate check
+```python
+# check_gate.py
+import requests, sys, os
+
+r = requests.get(
+    f"{os.environ['SONAR_URL']}/api/qualitygates/project_status",
+    params={"projectKey": "acme:api", "branch": "main"},
+    auth=(os.environ['SONAR_TOKEN'], ''),
+)
+status = r.json()["projectStatus"]["status"]
+print(f"Quality Gate: {status}")
+sys.exit(0 if status == "OK" else 1)
+```
+
+## 매 결정 기준
+| 상황 | Edition |
+|---|---|
+| OSS public repo | SonarCloud (free) |
+| Self-host, no PR analysis | Community Build |
+| Mid-size team, PR decoration | Developer Edition |
+| Enterprise, multi-branch, security reports | Enterprise Edition |
+| Compliance / data-residency | Data Center / self-host |
+
+**기본값**: SonarCloud 매 OSS, Developer Edition 매 commercial team.
+
+## 🔗 Graph
+- 부모: [[Static-Analysis]] · [[SAST]] · [[Code-Quality]]
+- 변형: [[CodeQL]] · [[Semgrep]] · [[Coverity]]
+- 응용: [[Quality-Gate]] · [[CI-CD]] · [[Tech-Debt]]
+- Adjacent: [[SCA]] · [[OWASP-Top-10]] · [[CWE]] · [[Clean-Code]]
+
+## 🤖 LLM 활용
+**언제**: 매 issue triage summary, 매 false-positive review, 매 custom rule draft (Sonar Way deviation), 매 SonarLint + Cursor inline-fix.
+**언제 X**: 매 deterministic rule eval (use scanner), 매 production gate decision (human approve).
+
+## ❌ 안티패턴
+- **All-code strict**: 매 legacy 매 100k issue 의 overwhelm. 매 "Clean as You Code" 의 use.
+- **Coverage-only gate**: 매 cov 80% 매 logic untested. 매 mutation testing 의 add.
+- **Ignore hotspots**: 매 Security Hotspot 매 review 매 skip. 매 actual vuln 매 hidden.
+- **No blame/SCM**: 매 issue ownership 매 unknown. 매 SCM integration 매 must.
+- **Self-host no upgrade**: 매 LTA 매 missed → 매 stale rules + CVE on Sonar itself.
+
+## 🧪 검증 / 중복
+- Verified (SonarSource docs 10.6 LTA; Clean Code taxonomy 2024; OWASP Top 10 2021 mapping).
+- Canonical for SonarQube topic.
+- 신뢰도 A.
+
+## 🕓 Changelog
+| 날짜 | 변경 |
+|---|---|
+| 2026-05-08 | Phase 1 |
+| 2026-05-10 | Manual cleanup — full canonical content (Clean Code + Quality Gate + scanner patterns) |