SonarCloud / SonarQube Cloud

Qualitäts- und Security-Domäne für Codeanalyse, Quality Gates und Berechtigungen

SonarCloud misst Codequalität und Security-Befunde. Backstage zeigt die Ergebnisse servicebezogen, AccessHub verwaltet Rollen und Analysetoken.

Projects

47

Gates Passed

38 / 47

Critical Issues

3

Ø Coverage

76%

Integrationsarchitektur

CI/CD PipelinesAzure DevOps · GitHubsonar-scanner CLIPR DecorationQuality Gate CheckSonarCloudAnalysis EngineQuality GatesIssues / HotspotsWebhooksREST APIAccessHubProd-Gate · PoliciesSecurity EvidenceBackstageService CardScorecard · Searchscanner uploadwebhook · APIplugin · proxy

Rollenpakete

RoleBeschreibungGenehmiger
SONAR_ORG_VIEWERLesende Sicht auf QualitätsdatenTeam Owner
SONAR_PROJECT_ADMINAdministration eines SonarCloud-ProjektsService Owner + Plattform
SONAR_EXECUTE_ANALYSISAnalyse über Token/Pipeline ausführenService Owner
SONAR_QUALITY_GATE_ADMINPflege von Quality GatesSecurity + Plattform
SONAR_QUALITY_PROFILE_ADMINPflege von QualitätsprofilenSecurity + Plattform
SONAR_ORG_ADMINOrganisationsweite AdministrationRestriktiv, 4-Augen

Quality Gate Dokumentation

Ist ein Quality Gate vorhanden?

Link zum Projekt und Gate-Status

Ist das Gate bestanden?

Aktueller Status, Analysedatum

Wenn nicht bestanden: warum?

Dokumentierte Ausnahme oder Risikoeintrag

Wer ist verantwortlich?

Service Owner und Security Owner

Bis wann wird behoben?

Zieltermin oder nächster Review

Quality Profiles

ProfileLanguageRulesMandatoryEnforced on
HERMOS Java - StrictJava412fis_*, shared_*
HERMOS TypeScript - StrictTypeScript298fis_portal_*, tnt_*_web
HERMOS C# - StrictC#356tnt_orders_*, fise_*
HERMOS Python - DefaultPython187Data Science Projects

Webhooks & Aktualisierung & Events

SonarCloud-Webhooks werden bevorzugt über einen AccessHub- oder Plattform-Endpunkt empfangen, dort HMAC-validiert, einer Backstage-Entity zugeordnet und lösen Read-Model-Updates und Notifications aus.

CeEvent (Background Task)· Analyse abgeschlossen

Consumer: AccessHub + Backstage

Action: Quality-Gate-Status an CMDB, Backstage-Card invalidieren, Approval-Policies prüfen

QualityGateEvent· Gate-Status wechselt

Consumer: AccessHub

Action: Prod-Deploy-Request automatisch blockieren wenn Gate failed (SoD-Regel sod-prod-sonar-gate)

IssueEvent (Security Hotspot)· Neue Critical/Blocker Vulnerability

Consumer: Security Evidence

Action: Finding mit CWE, CVSS, Owner anlegen, SLA-Clock starten, Benachrichtigung an Service Owner

REST API Nutzung

MethodPathVerwendungRate-Limit
GET/api/projects/searchProjekt-Inventar für Backstage Catalog Sync60/min
GET/api/measures/componentQuality Gate, Coverage, Tech Debt pro Component60/min
GET/api/qualitygates/project_statusGate-Status für PR-Decoration und AccessHub Prod-Gate60/min
GET/api/issues/searchFindings in Security Evidence Store importieren30/min
GET/api/hotspots/searchSecurity Hotspots je Projekt30/min
POST/api/qualityprofiles/activate_rulePolicy-Sync: HERMOS-Standardregeln aktivierenadmin only
POST/api/webhooks/createWebhook-Registrierung pro Projektadmin only

Token Scopes & Rotation

ScopeUsed byHolderExpiry
Execute AnalysisCI/CD PipelinesPipeline Service Principal90 Tage · Auto-Rotation
Browse ProjectBackstage Read PluginBackstage SA180 Tage
Administer ProjectAccessHub Admin-OperationsAccessHub Platform Team90 Tage · 4-Augen-Rotation
Administer Quality ProfilesPolicy-SyncSecurity Engineering180 Tage

PR & Branch Integrationen

Azure DevOps · PR Decoration

Kommentare in Pull Requests mit Gate-Status, Coverage-Delta, neuen Issues

active

Azure DevOps · Branch Analysis

Short-lived Branches werden gegen den Base-Branch analysiert

active

GitHub (Atlassian Mirror) · Status Check

Quality Gate als required check

planned

Projects

Project KeyQuality GateBugsVulnsCoverageHotspotsDebtNew Lines
fis_invoice_api passed0082%21d 4h840
fis_portal_web failed3164%54d 2h1250
tnt_orders_api passed1078%10d 6h320
shared_auth_lib warn0291%00d 2h95