SonarQube Server 2025.1 LTA 发布 - 代码质量、安全与静态分析工具

SonarQube Server 2025.1 LTA - 代码质量、安全与静态分析工具

Self-managed static analysis tool for continuous codebase inspection

请访问原文链接：https://sysin.org/blog/sonarqube/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

---

SonarQube Server

代码质量和安全性由您掌控

之前称为 SonarQube，本地部署的用于持续代码库检查的静态分析工具

保持 AI 生成的代码干净

释放 AI 编码助手的强大功能，而无需承担不良、不安全代码的风险。SonarQube Server 是您的干净代码解决方案，可以部署在任何地方、本地或云环境中。

受到 700 万开发者和 400,000 多个组织的使用和喜爱

SonarQube Server 2025.1 LTA 发布公告

2025 年 1 月 23 日

自上一届 SonarQube Server 9.9 LTA 发布以来，Sonar 一直很忙，在最近的版本中打包了很多内容。新的 SonarQube Server 2025 Release 1 LTA 将所有这些更改打包成一个长期活跃的版本，该版本比以往任何时候都更具价值(sysin)，并且长期稳定性更高。无论您是开发人员、工程主管、DevOps 工程师还是安全和合规工程师，新的 LTA 都能帮助您加速 SDLC。

在新的 SonarQube 服务器 LTA 中，您将找到：

• 高影响力的 AI 增强功能
• 尖端的安全创新
• 提高开发人员工作效率的功能
• 企业和运营卓越能力
• 新的广泛语言支持

请继续阅读以了解更多信息…

惊喜！我们悄悄加入了一些新的东西

我们对 LTA 的主要关注点是强化它，使其继续保持稳定，直到下一个 LTA 大多数人升级。但是，自 SonarQube Server 10.8 版本以来，我们为 LTA 版本添加了一些新的强大 AI 功能。通过此版本，您可以：

• 自动检测是否存在来自 GitHub Copilot 的 AI 生成的代码
• 轻松查看哪些项目具有 AI 编写的代码(sysin)，哪些项目受 AI Code Assurance 保护
• 显示包含 AI 生成代码的项目的实时 AI 代码保证质量状态
• 查看受 AI Code Assurance 保护的项目与产品组合中其他项目的比较
• 通过 API 跨多个项目进行批量配置，AI Code Assurance 的设置比以往任何时候都更容易

高影响力 AI 增强功能

凭借其最新的增强功能，Sonar 使开发人员能够自信地在 SDLC 中采用 AI 辅助编码。Sonar AI Code Assurance 简化了代码库中 AI 生成代码的识别和验证，确保其在投入生产之前满足最高的质量和安全标准。借助 AI CodeFix，开发人员可以收到一键式建议以立即解决问题，从而提高工作效率和代码质量。此外，SonarQube 现在支持 PyTorch、TensorFlow、Scikit-learn、NumPy 和 Pandas 等常用 Python 库，为 AI/ML 开发人员提供了编写安全可靠代码的工具，即使在 Jupyter Notebook 中也是如此。

尖端的安全创新

SonarQube Server 通过数百条新的安全规则和高级密钥检测引擎来提升您的代码安全性，该引擎可识别并防止 110+ 云服务中 160+ 密钥模式的泄漏，从而增强您的代码库以抵御安全威胁。此密钥检测引擎与您的代码分析并行运行，确保对分析性能零影响。此外，Sonar 还提供全面的安全报告，包括 CWE Top 25 2022 和 2023、STIG 和 CASA，以帮助您评估和遵守行业标准。Deeper SAST 现在覆盖了 2000 多个公共 Java 库，显著提高了使用外部库时对隐藏漏洞的检测能力。Java 安全分析在领先基准测试中拥有 90% 的真阳性率，而 Spring Framework 安全分析则提供完整的 200 多条规则。此外，Sonar 将安全性扩展到 Dockerfile，将安全热点与您的 IDE 同步，并提供与 GitLab 漏洞报告的双向同步，以简化漏洞管理。

提高开发人员的工作效率

SonarQube Server 现在通过更快的首次分析时间（不到 5 分钟）和通过按需下载分析器优化扫描时间，显著提高了开发人员的工作效率。在两种操作模式之间进行选择，即标准体验或多质量规则 （MQR） 模式，该模式具有创新的软件质量分类法和可自定义的严重性级别(sysin)。与 IDE 无缝集成，在连接模式下使用 SonarQube for IDE 直接在工作流中打开和解决问题。在合并之前深入了解拉取请求中已解决和已接受的问题，从现代化的 UI 中受益，并利用 Clean as You Code 指南获得更流畅、更高效的编码体验。

企业和运营卓越

SonarQube Server 通过用于自动化用户和组管理的 SCIM 集成以及与 GitHub 和 GitLab 的自动配置和同步等功能，简化了企业级管理并提高了运营效率。这消除了手动任务，确保跨平台安全一致的访问控制。使用 C/C++ 的 Autoconfig 和 monorepo 的指导设置，项目设置变得轻而易举，无需复杂的设置过程。SonarQube Server 现在提供更快、更轻松、更可预测的升级，同时最大限度地减少中断和停机时间。Kubernetes 用户将喜欢自动扩展以优化资源利用率，而 OpenShift 现已得到官方支持。最后，SonarQube Server 安装更加安全，支持在 FIPS 强制环境中运行、使用 Microsoft SMTP Server 进行新式身份验证以及强制实施严格的密码策略。

广泛的语言支持

通过多种语言和框架的重大更新保持领先，包括 Java、TypeScript、.NET、C++ 和 Python，以及新语言 Dart/Flutter、Helm、Azure 资源管理器 IaC、Ansible IaC 和 JCL。

… 这样的例子还在继续！

什么是 LTA 版本

LONG-TERM ACTIVE

SonarQube Server Long-Term Active (LTA)

为客户提供最佳体验、创新功能和世界一流的支持，以实现持续的业务成功。

什么是长期活跃（LTA）

LTA 是指每 12 个月发布一次的 SonarQube Server 版本（以前称为长期支持或 LTS）。它是产品的功能完整版本，将保持活动状态更长的时间。大型组织有时更愿意继续使用 LTA，因为他们无法经常升级，而是选择每 12 个月升级一次。

下载地址

SonarQube Server Version 2025.1 LTA | Released January 2025

• 下载地址：https://sysin.org/blog/sonarqube/

更多：HTTP 协议与安全