对话Sonar:
SonarQube企业版高级功能,助力中国企业迎战AI时代

日前,创实信息携手Sonar共同亮相2024 GOPS全球运维大会·上海站,带来以SonarQube为核心的一站式代码质量与安全解决方案,助推企业代码质量管理升级。

上期,我们对话了来自Sonar的Solution Engineer-Justin Chi和来自创实信息的技术支持-景玉鑫,围绕企业在AI时代下的代码分析需求、SonarQube的全新应用与扩展等方面展开了探讨。

本期,来自Sonar的Territory Manager-Stacey Geng与我们进一步分享了全球软件开发所面临的挑战、SonarQube在中国市场的应用和为用户带来的核心价值,以及企业版的高级功能等最新动向。

以下为对话实录,欢迎一睹为快
以下为文字版对话精华(内容有梳理精简):

Q:首次参与GOPS全球运维大会,您现场感受如何?

Stacey:今年是Sonar首次参加像GOPS这样具有全国影响力的大会,现场感受非常好。我们看到,在中国信通院的领导下,国内的众多企业都高度重视DevOps各个环节的管理工作。

Sonar在代码质量和安全管理方面发挥着重要作用,展会期间,也受到了许多小伙伴的咨询,这让我深刻感受到中国社区的热情与活力。非常期待Sonar能够通过更多这样的活动,与中国用户建立更加紧密的沟通。

Q:您如何看待中国企业在代码分析方面的需求,以及SonarQube可以带来的价值?

Stacey:我们观察到,全球市场在代码级的质量与安全管理方面都有着极高的要求,中国市场也同样如此,大家对这一领域都有非常深入的研究。

中国信通院推出的成熟度模型,为中国企业提供了量化管理的工具,使得企业能够切实有效地实施量化管理,提升软件开发团队的效率。而这一点,也正是Sonar所擅长的。我们对解决各类问题所需的时间进行了详尽的统计,所获的数据并非是Sonar的一家之言,而是基于全球800万程序员在Sonar论坛上活跃的实时反馈。因此,我们能够精准统计出解决各类问题所需的时间,从而帮助企业实施更有效的量化管理。

Q:您认为当前软件开发团队主要面临哪些挑战?

Stacey:在全球范围内,软件开发团队普遍面临着四大挑战。

首先,是关于安全管理左移的挑战。如今,许多漏洞已不能在软件开发前进行扫描,因为那时发现已太晚,后续的修复将耗费更多的时间、精力和资金。因此,需要在程序员开发阶段,甚至更早期就进行安全管理,也就是DevSecOps实践。在中国,这一挑战与全球情况无异。

其次,是建立统一标准的挑战。软件开发团队常常面临着诸多管理难题,比如人员流动、跨部门协同、项目组更替等等,这迫切要求团队采用一套统一的标准来指导管理,以便有效统筹庞大的软件开发团队。像此次参会的许多银行、电信等行业客户,他们的软件开发团队庞大,构建企业级标准对他们来说至关重要。

第三项挑战,在于提升软件开发人员的效能。企业不仅要设立标准进行管理,更要注重赋能和效率提升。比如我们可以减少误报率,通过分级提示关键信息,帮助开发人员快速定位并解决问题,从而提升开发效率与上线速度。Sonar最近推出的免编译扫描功能,可以帮助显著节省编译时间,加速软件开发和发布流程。

第四项挑战,是工具的运用和管理。中国是一个蓬勃发展的市场,拥有成熟的产业链,但同时也面临着品牌众多、工具繁杂的问题。如果有一款工具能在代码质量和安全管理领域实现统一标准,同时在IDE和CI/CD阶段都能进行统一化管理,将大大减少用户在采买、调研和预算分配等流程上的时间。当然,在AI时代,我们也应该在确保安全性的前提下,积极运用AI工具。Sonar现已集成全新AI功能,用户无需额外设置,就能在代码生成、检测和修复方面,享受到AI带来的便捷性和高效性。

以上是全球软件开发团队所共同面临的一些挑战和管理目标,也是Sonar致力于协助中国企业达成的目标。

Q:SonarQube提供多种版本,除了广为中国用户熟悉的社区版和开发者版本外,还推出了功能更强大的企业版,能否简要介绍下它的高级功能?

Stacey:其实,中国用户对SonarQube并不陌生,这让我们深感振奋。但是呢,大多数中国用户并不了解Sonar企业版能够带来更高的价值。我刚才提到的四个管理目标,正是需要Sonar企业版来帮助大家实现的。

首先,在安全管理方面,Sonar企业版提供了更强大的安全功能和更多的安全规则,具备更出色的安全检测能力,同时提供丰富的安全审计报表,供企业选择和应用。

在标准建立方面,Sonar企业版引入了“质量门”强制执行的概念,可帮助企业节省大量时间。比如团队领导在审核程序员上传的代码时,可通过自动化的流程实现初步筛选,对于有争议的代码再进行人工筛选,从而简化审核流程。这一点在社区版和开发者版中是不完善的。

另外,Sonar企业版提供了更多的报表和项目管理的统计功能,可生成关于软件可维护性、可靠性和安全性的详细报告,更好地帮助软件开发团队提升效率。最后,在工具应用方面,之前所提到的AI功能,也是在我们的企业版中才具备的。

总体来说,Sonar企业版能够更好地协助企业执行管理策略,提升开发效率。

全球700万开发人员的信赖!一文全面了解SonarQube亮点、企业版优势及安全功能

 

Q:SonarQube在中国的哪些行业应用广泛?具体是如何满足该行业需求的?

Stacey:在国内,Sonar所服务的行业客户主要涵盖三大领域。

首先是金融和金融服务业,包括银行、证券、保险等多个细分领域。其次是政企类单位,如电信、受监管的各类服务部门等。最后是高科技制造业,比如汽车制造,特别是电动汽车行业。这些高科技企业往往将软件作为产品的核心,也自然成为Sonar的核心客户群体。

客户之所以青睐Sonar,最重要的是看中Sonar在代码质量检测方面的能力。在具体的选择中,他们特别重视以下方面。

首先,产品的可靠性尤为重要。当前市场上,许多大小不一的公司都在涉足代码检测这一领域,但并非每家公司都能确保规则的准确性、更新的及时性,以及对新发布规则、法律法规的适配能力。Sonar凭借15年以上的深厚积累、全球800万客户的反馈,以及对众多大型银行、政府及软件行业客户的支持经验,我们所提供产品的可靠性无疑经受住了市场考验,具备显著优势。

另外,也要求能够与现有系统无缝集成。如银行、政府和高科技企业等的大型组织,往往已经构建了自己的DevOps平台,需要进行全面管控。代码的安全质量管理作为其中的一环,需要能够轻松集成到这些现有的系统中,以确保企业能够无阻碍、不停顿地进行系统运维。这一点,Sonar在设计之初就已经充分考虑到了,并致力于提供对所有主流DevOps平台的支持(如GitHub, GitLab, Bitbucket和Azure DevOps),以及广泛的语言支持(31种语言、框架和基础架构技术,超过5000条编码规则),以帮助实现管理目标。

Q:AI时代已来,Sonar对此有怎样的布局规划?

Stacey:Sonar的新任CEO Tariq Shaukat曾任谷歌总裁,他的到来为Sonar带来了新的产品战略方向——更加积极地拥抱AI。

随着AI在代码领域的深入应用,代码量正以前所未有的速度激增。许多企业面临着管理新旧代码的双重挑战,而未来,代码数量的增长将更为迅猛,呈指数级上升。在此背景下,如何利用AI技术来更有效地管理、修复、认证代码,确保其安全性,成为我们当前最重要的产品发展方向。

我们的CEO非常注重技术前沿动态,致力于将最新的技术方向和资讯融合到产品中。以AI功能为例,我们并不是简单地决定采用ChatGPT,而是在深入分析市场趋势后,对比不同的大模型,监测其性能,最终做出的选择。我们的团队拥有一套成熟的方法论,在战略方向上充分论证,确保产品成熟后才会向全球客户推广。

目前已推出的AI CodeAssurance(AI代码保障)和AI CodeFix(AI代码修复)只是第一步,接下来,我们将逐步推出更多AI相关的功能,为客户提供更高效、更安全的代码管理解决方案,请大家拭目以待。

获取更多代码质量与安全解决方案,请咨询SonarQube中国授权合作伙伴——创实信息

📞 021-61210910

📧 customer@shcsinfo.com

🌐 www.shcsinfo.com