SonarQube VPS: Code Quality Server Tự Host Tại Iceland

SonarCloud SaaS yêu cầu bạn upload toàn bộ source code lên server của SonarSource - cho dù được mã hóa transit, source code vẫn được parse và phân tích trên hạ tầng bên thứ ba. Với code thương mại nhạy cảm, code chứa thuật toán độc quyền hoặc dự án cần giữ bí mật khỏi đối thủ, đây là rủi ro không thể chấp nhận.

VPS offshore Iceland của AnubizHost giải quyết hoàn toàn vấn đề này. Source code không bao giờ rời khỏi hạ tầng bạn kiểm soát. SonarQube Community Edition miễn phí và đủ tính năng cho hầu hết team - chỉ thiếu branch analysis nâng cao có trong Developer Edition trả phí.

Quyền root cho phép tùy biến Elasticsearch heap, PostgreSQL backend và scanner workers theo nhu cầu cụ thể. VPS Pro 8GB RAM của AnubizHost với SSD NVMe phù hợp cho codebase 500k dòng code, phân tích hoàn tất trong dưới 15 phút. Thanh toán Bitcoin hoặc Monero tách biệt danh tính khỏi công cụ phát triển - quan trọng cho freelancer và startup giai đoạn stealth.

SonarQube cần Java 17, PostgreSQL và đủ vm.max_map_count cho Elasticsearch. Sau khi SSH vào VPS từ AnubizHost:

apt update && apt install -y openjdk-17-jdk postgresql wget unzip
sysctl -w vm.max_map_count=524288
echo "vm.max_map_count=524288" >> /etc/sysctl.conf
ulimit -n 131072

Tạo database PostgreSQL:

sudo -u postgres psql
CREATE USER sonar WITH ENCRYPTED PASSWORD 'StrongPass2026';
CREATE DATABASE sonarqube OWNER sonar;
\q

Tải SonarQube Community mới nhất, giải nén vào /opt/sonarqube và sửa conf/sonar.properties với JDBC URL trỏ vào PostgreSQL vừa tạo. Tạo user riêng và systemd service để chạy SonarQube không phải root - đây là yêu cầu bảo mật bắt buộc. Sau khi khởi động, truy cập cổng 9000, đăng nhập admin/admin và đổi mật khẩu ngay. Cấu hình Nginx reverse proxy với HTTPS Let's Encrypt phía trước, chỉ expose qua domain riêng đã trỏ Cloudflare proxy để giảm bề mặt tấn công.

SonarQube tích hợp với mọi CI/CD lớn qua plugin sonar-scanner. Với GitLab CI self-hosted trên VPS khác của AnubizHost, thêm stage analysis vào .gitlab-ci.yml: chạy sonar-scanner với SONAR_HOST_URL và SONAR_TOKEN được set qua CI/CD variables. Đặt token là masked và protected để chỉ chạy trên branch protected.

Token API là vector tấn công phổ biến. Tạo project-level token thay vì global token, đặt expiration 90 ngày và rotate định kỳ. Tuyệt đối không commit token vào Git - dùng GitLab secret hoặc HashiCorp Vault để inject runtime. Nếu nghi ngờ token bị lộ, revoke ngay trong SonarQube Administration - Security.

Quality Gate là cơ chế chặn build nếu code mới không đạt chuẩn. Đặt gate yêu cầu coverage tối thiểu 80% cho code mới, không có Critical hoặc Blocker issue, security hotspot phải review 100%. Kết hợp webhook gửi alert qua Telegram bot khi gate fail giúp team phản ứng nhanh. Backup PostgreSQL database hằng đêm về VPS bkp đảm bảo lịch sử phân tích không bị mất khi cần audit retroactive.