sonarqube プラグイン
プラグイン Claude Code セキュリティ コード品質・レビュー・テストセキュリティ・認証・コンプライアンスClaude Code 拡張・ワークフロー以下の解説は生成 AI によるものです。出典と照らし合わせてご確認ください。
README によると、このプラグインは Claude Code、GitHub Copilot CLI、Codex、Antigravity、Cursor、Kiro、レガシーの Gemini CLI といったエージェントのコーディングループに SonarQube のコード品質・セキュリティ検証を組み込みます。SonarQube CLI、SonarQube MCP Server、スキル、フック、スラッシュコマンドを含み、7,500 種類以上の問題タイプ、シークレットスキャン、40 以上の言語をカバーする品質ゲートを適用します。エージェントが対応している場合(例: Codex)は編集ごとに PostToolUse フックが変更箇所の解析を実行し、Agentic Analysis が有効なプランでは手動操作なしで自動的に検証が走ると README に記載されています。スラッシュコマンドからプロジェクト一覧、issue 一覧、品質ゲート状況、カバレッジ、重複、依存関係のリスクをオンデマンドで確認できます。セットアップには SonarQube アカウント(Cloud・Server・Community Build のいずれか)、SonarQube CLI、MCP サーバー用のコンテナランタイム(Docker・Podman・Nerdctl)が必要です。
概要
homepage および README によると、SonarQube は開発者と AI エージェントの双方が書いたコードのバグ、脆弱性、漏洩したシークレットを検出するコード品質・セキュリティ検証プラットフォームです。homepage には関連製品として SonarQube Cloud、SonarQube Server、SonarQube for IDE、SonarQube Advanced Security、Gitar、MCP Server/CLI が挙げられており、700 万人以上の開発者と Fortune 100 企業の 75% に利用されていると記載されています。
sonarqube でできること
- /sonarqube:sonar-integrate を実行し、CLI のインストール、認証、MCP/フックの設定を進める
- /sonarqube:sonar-list-projects でプロジェクト一覧を確認する
- /sonarqube:sonar-list-issues で issue 一覧を確認し、重大度で絞り込む
- /sonarqube:sonar-fix-issue で特定の issue を修正する
- /sonarqube:sonar-quality-gate で品質ゲートの状況を確認する
- /sonarqube:sonar-analyze で解析を実行する
- /sonarqube:sonar-coverage でテストカバレッジを確認する
- /sonarqube:sonar-duplication でコードの重複を確認する
- /sonarqube:sonar-dependency-risks で依存関係のリスクを確認する
- 対応エージェントでは PostToolUse フックとシークレットスキャン用フックにより編集後の解析が自動で走る
出典
原文の説明(英語)
Automatically enforce SonarQube code quality and security in the agent coding loop — 7,000+ rules, secrets scanning, agentic analysis, and quality gates across 40+ languages. PostToolUse hooks run analysis after every file edit. Pre-tool secrets scanning prevents 450+ patterns from reaching the LLM. Slash commands give on-demand access to quality gate status, coverage, duplication, and dependency risks. Includes SonarQube CLI, MCP Server, skills, hooks, and slash commands.
sonarqube の変更履歴
- プラグイン sonarqube を追加