Stacey：今年是Sonar首次参加像GOPS这样具有全国影响力的大会，现场感受非常好。我们看到，在中国信通院的领导下，国内的众多企业都高度重视DevOps各个环节的管理工作。

Sonar在代码质量和安全管理方面发挥着重要作用，展会期间，也受到了许多小伙伴的咨询，这让我深刻感受到中国社区的热情与活力。非常期待Sonar能够通过更多这样的活动，与中国用户建立更加紧密的沟通。

Q：您如何看待中国企业在代码分析方面的需求，以及SonarQube可以带来的价值？

Stacey：我们观察到，全球市场在代码级的质量与安全管理方面都有着极高的要求，中国市场也同样如此，大家对这一领域都有非常深入的研究。

中国信通院推出的成熟度模型，为中国企业提供了量化管理的工具，使得企业能够切实有效地实施量化管理，提升软件开发团队的效率。而这一点，也正是Sonar所擅长的。我们对解决各类问题所需的时间进行了详尽的统计，所获的数据并非是Sonar的一家之言，而是基于全球800万程序员在Sonar论坛上活跃的实时反馈。因此，我们能够精准统计出解决各类问题所需的时间，从而帮助企业实施更有效的量化管理。

Q：您认为当前软件开发团队主要面临哪些挑战？

Stacey：在全球范围内，软件开发团队普遍面临着四大挑战。

首先，是关于安全管理左移的挑战。如今，许多漏洞已不能在软件开发前进行扫描，因为那时发现已太晚，后续的修复将耗费更多的时间、精力和资金。因此，需要在程序员开发阶段，甚至更早期就进行安全管理，也就是DevSecOps实践。在中国，这一挑战与全球情况无异。

其次，是建立统一标准的挑战。软件开发团队常常面临着诸多管理难题，比如人员流动、跨部门协同、项目组更替等等，这迫切要求团队采用一套统一的标准来指导管理，以便有效统筹庞大的软件开发团队。像此次参会的许多银行、电信等行业客户，他们的软件开发团队庞大，构建企业级标准对他们来说至关重要。

第三项挑战，在于提升软件开发人员的效能。企业不仅要设立标准进行管理，更要注重赋能和效率提升。比如我们可以减少误报率，通过分级提示关键信息，帮助开发人员快速定位并解决问题，从而提升开发效率与上线速度。Sonar最近推出的免编译扫描功能，可以帮助显著节省编译时间，加速软件开发和发布流程。

第四项挑战，是工具的运用和管理。中国是一个蓬勃发展的市场，拥有成熟的产业链，但同时也面临着品牌众多、工具繁杂的问题。如果有一款工具能在代码质量和安全管理领域实现统一标准，同时在IDE和CI/CD阶段都能进行统一化管理，将大大减少用户在采买、调研和预算分配等流程上的时间。当然，在AI时代，我们也应该在确保安全性的前提下，积极运用AI工具。Sonar现已集成全新AI功能，用户无需额外设置，就能在代码生成、检测和修复方面，享受到AI带来的便捷性和高效性。

以上是全球软件开发团队所共同面临的一些挑战和管理目标，也是Sonar致力于协助中国企业达成的目标。

Q：SonarQube提供多种版本，除了广为中国用户熟悉的社区版和开发者版本外，还推出了功能更强大的企业版，能否简要介绍下它的高级功能？

Stacey：其实，中国用户对SonarQube并不陌生，这让我们深感振奋。但是呢，大多数中国用户并不了解Sonar企业版能够带来更高的价值。我刚才提到的四个管理目标，正是需要Sonar企业版来帮助大家实现的。

首先，在安全管理方面，Sonar企业版提供了更强大的安全功能和更多的安全规则，具备更出色的安全检测能力，同时提供丰富的安全审计报表，供企业选择和应用。

在标准建立方面，Sonar企业版引入了“质量门”强制执行的概念，可帮助企业节省大量时间。比如团队领导在审核程序员上传的代码时，可通过自动化的流程实现初步筛选，对于有争议的代码再进行人工筛选，从而简化审核流程。这一点在社区版和开发者版中是不完善的。

另外，Sonar企业版提供了更多的报表和项目管理的统计功能，可生成关于软件可维护性、可靠性和安全性的详细报告，更好地帮助软件开发团队提升效率。最后，在工具应用方面，之前所提到的AI功能，也是在我们的企业版中才具备的。

总体来说，Sonar企业版能够更好地协助企业执行管理策略，提升开发效率。

Q：SonarQube在中国的哪些行业应用广泛？具体是如何满足该行业需求的？

Stacey：在国内，Sonar所服务的行业客户主要涵盖三大领域。

首先是金融和金融服务业，包括银行、证券、保险等多个细分领域。其次是政企类单位，如电信、受监管的各类服务部门等。最后是高科技制造业，比如汽车制造，特别是电动汽车行业。这些高科技企业往往将软件作为产品的核心，也自然成为Sonar的核心客户群体。

客户之所以青睐Sonar，最重要的是看中Sonar在代码质量检测方面的能力。在具体的选择中，他们特别重视以下方面。

首先，产品的可靠性尤为重要。当前市场上，许多大小不一的公司都在涉足代码检测这一领域，但并非每家公司都能确保规则的准确性、更新的及时性，以及对新发布规则、法律法规的适配能力。Sonar凭借15年以上的深厚积累、全球800万客户的反馈，以及对众多大型银行、政府及软件行业客户的支持经验，我们所提供产品的可靠性无疑经受住了市场考验，具备显著优势。

另外，也要求能够与现有系统无缝集成。如银行、政府和高科技企业等的大型组织，往往已经构建了自己的DevOps平台，需要进行全面管控。代码的安全质量管理作为其中的一环，需要能够轻松集成到这些现有的系统中，以确保企业能够无阻碍、不停顿地进行系统运维。这一点，Sonar在设计之初就已经充分考虑到了，并致力于提供对所有主流DevOps平台的支持（如GitHub, GitLab, Bitbucket和Azure DevOps），以及广泛的语言支持（31种语言、框架和基础架构技术，超过5000条编码规则），以帮助实现管理目标。

Q：AI时代已来，Sonar对此有怎样的布局规划？

Stacey：Sonar的新任CEO Tariq Shaukat曾任谷歌总裁，他的到来为Sonar带来了新的产品战略方向——更加积极地拥抱AI。

随着AI在代码领域的深入应用，代码量正以前所未有的速度激增。许多企业面临着管理新旧代码的双重挑战，而未来，代码数量的增长将更为迅猛，呈指数级上升。在此背景下，如何利用AI技术来更有效地管理、修复、认证代码，确保其安全性，成为我们当前最重要的产品发展方向。

我们的CEO非常注重技术前沿动态，致力于将最新的技术方向和资讯融合到产品中。以AI功能为例，我们并不是简单地决定采用ChatGPT，而是在深入分析市场趋势后，对比不同的大模型，监测其性能，最终做出的选择。我们的团队拥有一套成熟的方法论，在战略方向上充分论证，确保产品成熟后才会向全球客户推广。

目前已推出的AI CodeAssurance（AI代码保障）和AI CodeFix（AI代码修复）只是第一步，接下来，我们将逐步推出更多AI相关的功能，为客户提供更高效、更安全的代码管理解决方案，请大家拭目以待。