SonarQube Server 2025 Release 5 (macOS, Linux, Windows) - 代码质量、安全与静态分析工具

news/2025/9/25 14:41:46/文章来源:https://www.cnblogs.com/sysin/p/19111187

Self-managed static analysis tool for continuous codebase inspection

请访问原文链接：https://sysin.org/blog/sonarqube/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

SonarQube Server

代码质量和安全性由您掌控

SonarQube Server
之前称为 SonarQube，本地部署的用于持续代码库检查的静态分析工具

保持 AI 生成的代码干净

释放 AI 编码助手的强大功能，而无需承担不良、不安全代码的风险。SonarQube Server 是您的干净代码解决方案，可以部署在任何地方、本地或云环境中。

SonarQube Server

受到 700 万开发者和 400,000 多个组织的使用和喜爱

提高代码质量的代码质量工具

您的代码是一项商业资产。通过 SonarQube Server 达到干净代码状态，实现代码的最高价值。

SonarQube Server 功能：

代码智能

利用 SonarQube 的深度洞察，更全面地了解您的代码库。通过减少认知负荷来提高开发人员的生产力。
与顶级 DevOps 平台集成

轻松加入项目。与 GitHub Actions、GitLab CI/CD、Azure Pipelines、Bitbucket Pipelines 和 Jenkins 集成，以自动触发分析并显示您工作地点的代码运行状况。
代码审查

通过 SonarQube 的质量阈值，防止不符合策略的代码进入生产环境。消除人工编写和 AI 生成代码中的问题，从而降低后期修复成本。
高性能和可操作性

按照您的方式进行部署，无论是在本地、在云中、作为服务器、使用 Docker 或 Kubernetes。多线程、多个计算引擎和特定于语言的加载可提供最佳性能。
顶级分析速度和准确性

在几分钟而不是几小时内收到可操作的清洁代码指标 (sysin)。Clean as You Code 会在您工作时检查较小的代码片段，为您提供有关新代码质量的准确反馈。
重要语言的关键安全规则

在您的开发工作流程中，在正确的时间和正确的位置无缝地发现编码问题。受益于 6,000 多个规则以及行业领先的 Java、C#、PHP、Python 等污点分析。
共享、统一的配置

设置特定的编码标准，使您的团队在代码健康方面保持一致并实现您的代码质量目标。另外，“边编程边学习” 可将开发人员的技能提升到同样高的水平。
用于 IDE 的 SonarQube

添加 SonarQube for IDE 扩展并将其连接到 SonarQube 服务器，以便在编码时动态查找编码问题，并确保您的团队遵循单一受监管的编码标准。
测量代码覆盖率

查看测试执行的代码库的百分比，以获得有关代码运行状况的宝贵见解。引导您到覆盖率低的领域进行改进。

新增功能

SonarQube Server 2025.5：加快上市速度、强化供应链、防线更牢、开发更高效

发布日期：2025 年 9 月 24 日

SonarQube

2025.5 功能概览：

提升安全性与供应链防护

通过检测 GitHub Actions 中的漏洞强化 CI/CD 流水线
为 JavaScript/TypeScript 提供更快、更精准的安全分析
检测 WPF 框架漏洞 (sysin)，保护 .NET 桌面应用程序

减少开发者负担，提升生产力

升级服务器不会中断 CI/CD 流水线
提高 Python 自动化代码审查的性能
优化 AWS Lambda 中的 Python 无服务器函数
更深入检测 Angular 代码，保障 Web 应用质量

企业级合规与治理能力

扩展对 MISRA C++:2023 的支持，满足合规需求
以自定义节奏推进软件成分分析（SCA）
管理全局产品内公告内容，实现定制化通知

为什么 2025.5 对你重要？

此版本是对整个软件开发生命周期的战略性升级，带来了一系列帮助你解决关键挑战的新功能。以下是不同角色的受益点：

对开发团队：不中断工作流的更快编码体验

迎来生产力飞跃！我们引入了非中断式更新，你可以放心使用 SonarQube 新功能，而不用担心 CI/CD 流水线被破坏。Python 代码分析反馈的速度也得到了显著提升，助你更快迭代。JavaScript/TypeScript 开发者将受益于默认启用的新一代安全引擎，提供更精准、可执行的安全建议 (sysin)。Angular 开发者也将发现更多潜在问题，同时学习现代 Angular 模式。此外，还新增对 Python 的 AWS Lambda 无服务器规则支持，以及 .NET WPF 桌面应用的安全检测。
对安全与 DevSecOps 团队：保护整个软件供应链

此版本在安全性方面实现了飞跃。你现在可以通过检测 GitHub Actions 工作流中的漏洞和配置错误，直接加强 CI/CD 流水线对供应链攻击的防御能力。JavaScript/TypeScript 的默认安全引擎更加准确、快速，减少误报。我们还引入了逐步部署 SCA 的能力，你可以按需分阶段推进，无需一次性覆盖整个组织。
对平台工程师与管理员：自信地更新与管理

解决了一个常见的运维难题：非中断更新。现在你可以更有效地管理升级过程，向团队提前沟通变更，避免因构建失败导致大量支持请求。通过按实例和项目粒度部署 SCA 的控制能力，实现战略性采用。你还可以通过新增的全局公告栏功能（支持链接和 Markdown），集中传达关键信息，引导用户行动。
对合规团队与工程管理层：加速业务目标、降低风险

轻松满足合规要求，获得前所未有的可见性。我们扩展了对 MISRA C++:2023 的支持，助力汽车等安全关键行业加速产品上市。同时，通过加强 CI/CD 安全性 (sysin)，有效降低整个供应链的漏洞风险。此版本还可优化 AWS 成本支出，通过修复 Python Lambda 函数中的性能问题。总体而言，此更新提升了从云端到桌面的整体应用安全性，降低企业风险。