代码质量与安全 | SonarQube Server 2025.1 长期支持版本发布,AI增强、安全创新与开发效率全面提升
本文来源sonarsource.com,由SonarQube中国授权合作伙伴-创实信息翻译整理。
免费试用SonarQube企业版,欢迎联系我们:021-61210910,customer@shcsinfo.com
最新的SonarQube Server 1 LTA(长期支持)版本(简称为2025.1)包含了一系列变革性的进步和广泛的改进,使其成为SonarQube Server历史上功能最丰富的LTA版本。无论您是开发人员、工程主管、DevOps工程师,还是安全与合规工程师,新的LTA版本都能为您的软件开发生命周期(SDLC)提供助力。
在新的2025.1 LTA版本中,您将发现:
重磅AI增强功能 前沿的安全创新 提升开发效率的功能 企业级支持和卓越运营的能力 更广泛的语言支持
2025.1 LTA版本有哪些新功能
自动检测GitHub Copilot生成的代码。 轻松查看哪些项目包含AI生成的代码,哪些项目受到AI Code Assurance保护。 实时显示包含AI生成代码的项目的AI Code Assurance质量状态。 查看受AI Code Assurance保护的项目与其他项目的对比情况。 通过API批量配置多个项目,AI Code Assurance的设置更为轻松。
重磅AI增强功能
█ 保障AI生成代码的质量与安全
Sonar AI Code Assurance可帮助开发人员识别和验证AI生成的代码。在2025.1 LTA中,SonarQube Server可以自动检测GitHub项目中由GitHub Copilot创建的代码。SonarQube Server为包含AI生成代码的项目提供实时质量评估和通过/失败的标记,确保只有高质量的AI生成代码才能投入生产。您可以使用Sonar推荐的AI Code Assurance质量门,或使用您自己的质量门,来确保所有AI代码符合您的严格要求。
█ 通过AI CodeFix加速问题解决
抢先体验Sonar AI CodeFix!只需单击一下,这一新功能即可针对SonarQube Server发现的问题提出代码修复建议,通过自动执行常见的解决方案,以显著提高开发人员的工作效率。您可以在IntelliJ、VS Code、Visual Studio和Eclipse中直接打开AI CodeFix建议并应用它们。
█ 构建安全且高质量的AI应用
数据科学家和机器学习从业者们有福了!SonarQube Server提供了独特的规则,用于检测顶级Python库(如PyTorch、TensorFlow、Scikit-learn、NumPy、Pandas)以及Jupyter Notebook中的代码问题,保护您的AI/ML应用程序免受常见编码陷阱的影响,并确保它们具备生产就绪的能力。
前沿的安全创新
█ 高级密钥检测
Sonar的高级密钥检测引擎通过120多条规则覆盖160多种密钥模式,并支持110多种公共和私有云服务,全面保护您的代码。您可以在IDE中检测密钥,防止其进入代码库。并行处理确保对整体分析性能无任何影响。企业版和数据中心版允许您配置自定义规则,以保护公司特有的密钥。
█ 新的安全报告
新增针对CWE Top 25 2022和2023、STIG和CASA安全风险的标准报告,帮助您评估代码库中的常见漏洞。通过新增的最新报告,SonarQube Server可帮助您证明符合这些流行标准的合规要求。
█ 更深入的SAST和增强的Java、Spring及Dockerfile安全性
Sonar的深度SAST现已覆盖2000多个公共Java库,显著提升了发现隐藏漏洞的能力。通过对Java安全分析引擎的更新,其在主要基准测试中的真阳性率达到了约90%。新增了200多条针对Spring框架的安全规则,达到完全覆盖级别。此外,还增加了40多条最佳实践规则,以避免Dockerfile中的安全配置错误,确保Docker部署的安全性。
█ 与IDE和GitLab同步安全问题
SonarQube for IDE(VSCode和IntelliJ)现在可以将安全热点状态与SonarQube Server实时同步,让您在编码时专注于需要处理的问题。在IDE中更改问题状态会立即反映在 SonarQube Server中。SonarQube Server还与GitLab集成,提供漏洞问题与GitLab漏洞报告的双向同步。
大幅提升开发效率
█ 更快的首次分析和整体扫描时间
根据基准测试,以前需要数小时才能完成的首次分析现在只需要5分钟或更短的时间。所需的扫描时间和带宽显著减少,因为扫描器现在只会根据项目中的文件和语言下载特定的分析器。
█ 双操作模式
标准体验模式:保留了9.9 LTA及更早版本用户所熟悉的规则和问题严重性分类。
多质量规则(MQR)模式:每个问题和规则都有多种质量维度。MQR模式引入了一种新的分类法,专注于通过防止不良软件编写的结果来编写更好的代码,包括新的软件质量指标、细化的严重性级别和每种质量的独立严重性评估。您还可以确定规则的优先级,来执行公司的代码标准,防止不符合标准的发布。
█ 更好的开发者体验
此外,DevOps平台的拉取请求评论中,会显示已接受和已修复问题的数量,带来无缝体验。您还可以通过Sonar扩展的“边写边学习”(Learn as You Code, LaYC)内容,提升您的编码技能和专业水平!
企业级支持和卓越运营
█ 提升服务器安全状况
SonarQube Server通过企业版和数据中心版对SAML/Azure AD和SAML/Okta的SCIM支持,简化了用户和组管理。自动与GitHub和GitLab进行配置和同步,消除了手动管理,并确保跨环境权限的一致性。您可以创建自定义的角色和权限映射,覆盖默认设置,以适应您的公司需求。这增强了安全性,减少了管理员负担,并简化了项目权限管理。
SonarQube Server现在支持在FIPS强制环境中运行,支持Microsoft SMTP Server的现代身份验证,并对本地帐户实施更严格的密码策略,从而全面提升安全性和合规性。
█ 更轻松、可预测的升级
SonarQube Server的升级现在更快、更可预测,对您的工作流程几乎没有停机时间和干扰。Sonar优化了重新编制索引的过程,增加了升级时间估算,并提供了详细的活动日志来跟踪更改。此外,新的日志文件可帮助您识别过时的Web API和参数,以便更顺利地升级。在升级到2025.1之前,请务必升级到最新的9.9.8 LTA,以利用优化的数据库升级流程,将升级时间缩短一个数量级。
█ 简化的项目上手流程
使用SonarQube Server设置项目变得更加简单!用于C和C++的AutoConfig消除了对Build Wrapper和 Compilation Database的需求,支持大多数开箱即用的编译器。支持在同一项目中分析多个 C/C++代码变体。通过引导式流程,您可以轻松配置单体仓库中的项目,在一次扫描中完成所有项目的配置。
█ 支持Kubernetes部署
放心地在Kubernetes上部署SonarQube Server!享受应用程序Pod的水平自动扩展,以加快分析速度,优化资源使用。此外,已正式支持Red Hat OpenShift部署,您可以在所选择的Kubernetes部署中安全地协调所有应用程序和服务。
更广泛的语言支持
Graphene-Python库
自动扫描Maven项目根目录中的所有文件
React库
MISRA C++ 2023
█ C#/.NET
.NET 9
C#13
Blazor框架
针对ASP.NET的新规则
针对.NET 框架中C#日志记录最佳实践的新规则
HTML无障碍规则
IBM z/OS Job Control Language (JCL)
立即升级到最新的LTA版本,体验 SonarQube Server的强大功能!
了解更多请咨询SonarQube中国授权合作伙伴-创实信息,我们提供SonarQube企业版的免费试用、咨询、销售、安装部署、技术支持等一站式服务。
了解产品:https://www.shcsinfo.com/sonarqube
联系方式:021-61210910、customer@shcsinfo.com