Atlassian Bitbucket 사용자가 Codacy를 통합해 PR마다 49개 언어의 정적 분석과 보안 취약점 검사를 자동으로 수행

Context

Bitbucket과 Jira, Confluence 등 Atlassian 도구를 사용하는 팀은 기존 워크플로우 밖에서 코드 품질을 검사해야 했다. 별도 도구로 정적 분석 결과를 확인하려면 여러 플랫폼을 오가야 하므로 개발자 경험이 분산되었다.

Technical Solution

• Codacy Bitbucket 앱을 Atlassian Marketplace에서 설치해 OAuth 기반 워크스페이스 권한 통합
• Codacy가 자동으로 웹훅을 Bitbucket 저장소에 설치해 모든 푸시와 PR 이벤트에서 분석 트리거
• bitbucket-pipelines.yml 파일에 coverage 업로드 단계를 추가해 테스트 커버리지 데이터를 Codacy로 전송
• Codacy Project API Token을 Bitbucket 저장소 변수에 저장해 파이프라인에서 안전하게 사용
• 품질 게이트 설정과 branch restriction을 통해 Codacy 분석 통과를 PR 병합 조건으로 강제
• PR 상태 확인과 인라인 코멘트로 분석 결과를 Bitbucket UI에 직접 표시

Impact

Codeacy 분석은 일반적으로 1~5분 내 완료되며, 대규모 코드베이스도 최대 15분 이내 처리된다. Coverage 업로드는 일반적으로 30초 이내에 완료된다.

Key Takeaway

Bitbucket Cloud와 Bitbucket Data Center 사용자는 동일한 개념의 설정(웹훅, 토큰, 파이프라인 통합)으로 기존 워크플로우를 벗어나지 않으면서도 49개 언어의 정적 분석, SAST, 시크릿 탐지, 중복 검사, 커버리지 추적을 한 번에 구성할 수 있다.