什么是SonarQube

被700万开发者和40多万组织使用和喜爱

SonarQube 是一个代码质量管理工具,旨在通过持续的代码质量评估,帮助开发团队创建更安全、可靠和高质量的软件产品。它通过自动化代码审查,提供多种静态代码分析功能,能够识别和报告代码中的潜在问题,如错误、漏洞、代码异味和安全风险。

通过持续的代码质量和代码安全性来
优化您的工作流程

成千上万的自动化静态代码分析规则,从多个方面保护您的应用程序,指导您的团队。

每时每刻发布高质量代码

捕获棘手的bug,以防止未定义的行为影响终端用户。
在整个开发周期中,始终把质量放在首位。Quality Gates(质量关口)会在每次分析时告诉您代码是否已准备好发布,给予清晰反馈,保证您提交的代码干净,维护您的声誉。

应用安全

修复危害应用程序的漏洞,并在此过程中通过安全热点(Security Hotspots)了解应用的安全情况。
使用静态应用程序安全测试 (SAST) 在代码审查中检测安全问题,在开发早期就能获得反馈,并获得合理模式解决安全问题。同时,SonarSource 报告为您复杂的项目提供全面的应用程序安全跟踪。

可维护性

SonarQube 可帮助您在流程的早期找到代码异味,找出问题所在,然后告诉您如何解决这个问题。
不仅仅是编码规则,SonarQube以易于理解的方式收集和呈现了您需要的指标。度量非常重要,SonarQube发明了认知复杂性来填补行业标准的空白。

SonarQube 功能

与顶级DevOps平台的集成

SonarQube 可以轻松与多个CI/CD平台集成,包括GitHub Actions、GitLab CI/CD、Azure Pipelines、Bitbucket Pipelines 和 Jenkins。这样,分析过程可以自动触发,开发团队能够在工作中实时查看代码健康状态。

明确的质量门控

SonarQube 设定的质量门控(Quality Gate)允许在代码质量未达标时自动失败构建管道,从而阻止问题代码的合并或发布,降低SDLC中后期发现问题的风险和成本。

高性能和可操作性

SonarQube 提供多种部署方式,包括本地部署、云端、Docker 和 Kubernetes。通过多线程和多个计算引擎的支持,实现完善性能。

边写边清洁

该工具能够在几分钟内提供可操作的Clean Code指标,而不是耗时数小时。通过“边写边清洁”(Clean as You Code)功能,开发者可以在编码时对小块代码进行即时检查,获得准确的质量反馈。

关键语言的安全规则

SonarQube 在开发流程中及时发现编码问题,支持超过6000条规则及行业领先的污点分析(taint analysis),适用于Java、C#、PHP、Python等语言。

共享的统一配置

开发团队可以设定特定的编码标准,以确保团队在代码健康方面的一致性。此外,“学习编码”(Learn as You Code)功能可以提升开发者的技能,确保达到高标准。

SonarLint IDE集成

开发者可以在他们喜欢的IDE中添加SonarLint扩展,即时发现编码问题。SonarQube的设置会同步到SonarLint,确保团队遵循统一的Clean Code标准。

代码覆盖率测量

SonarQube 提供测试覆盖率的可视化,帮助开发者了解代码库中测试覆盖的比例,指导其改进低覆盖率的区域。

Sonar中强大的AI

新AI代码保证

Sonar AI代码保证是一个强大且简化的过程,用于通过结构化和全面的分析来验证AI生成的代码。这确保了每一段新代码在进入生产环境之前都符合最高的质量和安全标准。

AI代码修复

Sonar AI代码修复是一个强大的功能,能够为我们的代码分析解决方案SonarQube和SonarCloud发现的问题提供代码修复建议。只需一键,您就可以收到关于如何解决各种问题的建议,从而简化问题解决过程。

SonarQube的优势

SonarQube 使所有开发人员能够编写更干净、更安全的代码。

SonarQube不断分析你的代码,并在需要采取纠正措施时提供建议。有了SonarQube,代码审查的重点从正确的惯例使用转移到算法优化和消除内存泄漏!

成长型开发人员

提高你的技能,做不断成长的开发人员。SonarQube不断分析你的代码,并在需要采取纠正措施时提供建议。
每种支持的语言都包含数十条规则,这些规则提供清晰的解决方案指导,帮助您在每次提交时学习干净的代码实践。有了SonarQube,代码审查的重点从正确的惯例使用转移到算法优化和消除内存泄漏!

优化您的工作流程

自动代码分析能够可靠地跟踪您的代码库运行状况,并防止新引入的问题流向下游。使用 SonarQube让您的工作流程运行更智能,原生集成让您可以轻松安排来自所有 CI 引擎的分析执行。
无论是自托管/本地或云端/SaaS,SonarQube 都可以灵活地连接到您的DevOps平台。

“边写边清理”

Clean as You Code 让您进入代码质量和代码安全的新时代。它意味着专注于新代码,以微小的投资收获对代码质量的巨大影响。SonarQube让开发人员专注于新代码,保持了项目健康。在SonarQube项目主页,新代码(更改或添加)的代码质量和代码安全被突出显示了,让您能够专注于重要的事:确保今天编写的代码是可靠的。

多语言

适用于29种编程语言
您的项目是多语言的,SonarQube分析也是如此。
我们拥抱发展——无论是多语言应用程序、由不同背景组成的团队还是现代与传统结合的工作流程,SonarQube 都能满足您的需求。
借助 SonarQube 静态分析,你可以在一个地方测量项目中的所有语言以及领域中所有项目的可靠性、安全性和可维护性。我们已经并将继续大力投资我们的分析工具,确保高价值和低误报率。
在不同的语言之间,我们为您提供有凝聚力的体验和一致的指标,以及数百个静态代码分析规则。

各版本对比

SonarQube版本

社区版

免费和开源

开发者版

由开发人员为开发人员构建

企业版

专为满足企业要求而设计

数据中心版

实现高可用性、可扩展性和性能

特点

含以下所有功能:

  • 19 种语言的静态代码分析: Java、C#、JavaScript、TypeScript、CloudFormation、Terraform、Docker、Kubernetes、Helm Charts、Kotlin、Ruby、Go、Scala、Flex、Python、PHP、HTML、CSS、XML、VB.NET 和 Azure 资源管理器
  • 检测错误和基本漏洞
  • 查看安全热点
  • 跟踪代码异味并修复您的技术债务
  • 代码质量指标和历史记录
  • CI/CD 集成
  • 可扩展,具有 50+ 社区插件

社区版加:

  • 支持 C、C++、Obj-C、Swift、ABAP、T-SQL 和 PL/SQL
  • 检测高级漏洞,包括 Java、C#、PHP、Python、JavaScript、TypeScript 中的注入缺陷
  • 检测导致 Python 和 Java 中的运行时错误和崩溃的高级错误
  • 功能和维护分支分析
  • 在以下 DevOps 平台中进行拉取请求分析和注释:GitHub、Bitbucket、Azure DevOps 和 GitLab

开发者版加:

  • 支持 Apex、COBOL、PL/I、RPG 和 VB6
  • 项目组合管理和PDF执行报告
  • 项目 PDF 报告
  • 安全报告
  • 记录发布状态和质量的监管报告
  • 项目迁移
  • 并行处理分析报告

企业版加:

  • 组件冗余
  • 数据弹性
  • 水平可扩展性
  • 极端负载下的高性能

SonarQube中国授权合作伙伴 — 创实信息

SonarQube开发者版、企业版、数据中心版
支持C/C++以及Oracle PL/SQL三种语言、多分支扫描
29种开发语言全覆盖

创实提供SonarQube的咨询、试用、安装部署、培训、实施运维、技术支持等服务,优质专业,让您无忧使用

相关文章

通过持续的代码质量和
代码安全性来优化您的
工作流程

成千上万的自动化静态代码分析规则,从多个方面保护您的应用程序,指导您的团队。

每时每刻发布高质量代码

捕获棘手的bug,以防止未定义的行为影响最终用户。
在整个开发周期中,始终把质量放在首位。Quality Gates(质量关口)会在每次分析时告诉您代码是否已准备好发布,给予清晰反馈,保证您提交的代码干净,维护您的声誉。

应用安全

修复危害应用程序的漏洞,并在此过程中通过安全热点(Security Hotspots)了解应用的安全情况。
使用静态应用程序安全测试 (SAST) 在代码审查中检测安全问题,在开发早期就能获得反馈,并获得合理模式解决安全问题。同时,SonarSource 报告为您最复杂的项目提供全面的应用程序安全跟踪。

可维护性

SonarQube 可帮助您在流程的早期找到代码异味,找出问题所在,然后告诉您如何解决这个问题。
不仅仅是编码规则,SonarQube以易于理解的方式收集和呈现了您需要的指标。度量非常重要,SonarQube发明了认知复杂性来填补行业标准的空白。

SonarQube的优势

SonarQube 使所有开发人员能够编写更干净、更安全的代码。

SonarQube不断分析你的代码,并在需要采取纠正措施时提供建议。有了SonarQube,代码审查的重点从正确的惯例使用转移到算法优化和消除内存泄漏!

成长型开发人员

提高你的技能,做不断成长的开发人员。SonarQube不断分析你的代码,并在需要采取纠正措施时提供建议。
每种支持的语言都包含数十条规则,这些规则提供清晰的解决方案指导,帮助您在每次提交时学习干净的代码实践。有了SonarQube,代码审查的重点从正确的惯例使用转移到算法优化和消除内存泄漏!

优化您的工作流程

自动代码分析能够可靠地跟踪您的代码库运行状况,并防止新引入的问题流向下游。使用 SonarQube让您的工作流程运行更智能,原生集成让您可以轻松安排来自所有 CI 引擎的分析执行。
无论是自托管/本地或云端/SaaS,SonarQube 都可以灵活地连接到您的DevOps平台。

“边写边清理”

Clean as You Code 让您进入代码质量和代码安全的新时代。它意味着专注于新代码,以微小的投资收获对代码质量的巨大影响。SonarQube让开发人员专注于新代码,保持了项目健康。在SonarQube项目主页,新代码(更改或添加)的代码质量和代码安全被突出显示了,让您能够专注于重要的事:确保今天编写的代码是可靠的。

多语言

适用于29种编程语言
您的项目是多语言的,SonarQube分析也是如此。
我们拥抱发展——无论是多语言应用程序、由不同背景组成的团队还是现代与传统结合的工作流程,SonarQube 都能满足您的需求。
借助 SonarQube 静态分析,你可以在一个地方测量项目中的所有语言以及领域中所有项目的可靠性、安全性和可维护性。我们已经并将继续大力投资我们的分析工具,确保高价值和低误报率。
在不同的语言之间,我们为您提供有凝聚力的体验和一致的指标,以及数百个静态代码分析规则。

各版本对比

SonarQube中国授权合作伙伴——创实信息

SonarQube开发者版、企业版、数据中心版
支持C/C++以及Oracle PL/SQL三种语言、多分支扫描
29种开发语言全覆盖

创实提供SonarQube的咨询、试用、安装部署、培训、实施运维、技术支持等服务,优质专业,让您无忧使用

相关文章