É uma técnica que avalia o código-fonte sem executá-lo, identificando possíveis erros, vulnerabilidades, más práticas e violações de padrões de codificação.

Detectar bugs e vulnerabilidades de segurança, garantir a manutenibilidade e legibilidade do código, e aplicar boas práticas e padrões de desenvolvimento.

O SonarQube é uma plataforma de código aberto para inspeção contínua da qualidade do código, suportando várias linguagens de programação e integrando-se a pipelines de CI/CD.

Identificação de bugs, vulnerabilidades e code smells, cobertura de testes, duplicação de código, métricas de complexidade e dívida técnica.

Java 11+, um banco de dados (PostgreSQL, MySQL, Oracle, ou Microsoft SQL Server), e o SonarQube Server.

Baixe e extraia o SonarQube, configure o banco de dados em conf/sonar.properties, inicie o servidor e acesse via navegador em http://localhost:9000.

O SonarScanner é uma ferramenta que envia o código para análise no SonarQube.