SonarQube是DevOps工具链体系中负责代码质量和技术债务的工具平台,这篇文章将全面解读从SonarQube 8.9 LTS 到 2025.4 LTA的特性变化
SonarQube产品线命名变化
开源/商业版本特性区别
Download SonarQube
2024 年 10 月 29 日SonarQube对产品线进行了简化命名,变化如下
新产品命名包括:
SonarQube Server(原SonarQube)
SonarQube Cloud(原SonarCloud)
SonarQube for IDE(原SonarLint)
SonarQube Community Build(原SonarQube Community Edition)
SonarQube发布周期模型
于此同时,发布周期和版本命名进行了调整。另外,将社区版和企业版进行了严格命名上的区分。
SonarQube Server
https://www.sonarsource.com/products/sonarqube/downloads/lts/
SonarQube Server 每两个月发布一次新版本,每年发布新的长期活动 (LTA Long-Term Active) 版本(以前称为 LTS)。LTA 是该产品的功能完整版本,将获得长期支持。
这意味着 SonarQube Server 每年有六个版本,包括每年年初的 LTA 版本。
SonarQube Community Build
SonarQube Community Build 的新版本每月都会发布。SonarQube Community Build 没有活动版本或长期活动 (LTA) 版本概念。
SonarQube 9.9 LTA (Upgrade from 8.9) 安全与性能的全面升级
https://docs.sonarsource.com/sonarqube-server/9.9/setup-and-upgrade/release-upgrade-notes
https://docs.sonarsource.com/sonarqube-server/9.9/setup-and-upgrade/lts-to-lts-release-upgrade-notes
Java 17 is required for SonarQube server. Use of Java 11 is no longer supported. See the documentation on Prerequisites and overview for more information. (SONAR-17566); 不再支持使用 Java 8
新的主分支名称默认为“main”(9.8)
Updated built-in Quality Profiles (9.0-9.9)
为了分析 Javascript、Typescript 和 CSS 代码,必须在运行扫描的计算机上安装 Node.js 14.17+
已放弃对 Internet Explorer 11 和其他旧版浏览器的支持
可以生成不同类型的令牌,并且可以为每个特定项目创建不同的分析令牌;新令牌现在可以有一个可选的到期日期。过期的令牌无法使用,必须更新
- 项目组合概述和项目明细已重新设计 (9.3)
SonarQube 10.8 (Upgrade from 9.9 LTA ) AI 时代的到来
SonarQube AutoConfig: 重新定义C++代码分析 (10.6)
- 使用SonarQube Server设置项目变得更加简单!用于C和C++的AutoConfig消除了对Build Wrapper和 Compilation Database的需求,支持大多数开箱即用的编译器。支持在同一项目中分析多个 C/C++代码变体。通过引导式流程,您可以轻松配置单体仓库中的项目,在一次扫描中完成所有项目的配置。https://www.shcsinfo.com/news-44
更快的首次分析和整体扫描时间 (10.0 and 10.4)
- 根据基准测试,以前需要数小时才能完成的首次分析现在只需要5分钟或更短的时间。所需的扫描时间和带宽显著减少,因为扫描器现在只会根据项目中的文件和语言下载特定的分析器。
AI features (10.8)
AI Code Assurance custom quality standards
Open AI CodeFix suggestion in Visual Studio
自动配置:增加组成员的可见性 (10.8)
- 使用 GitHub 或 GitLab 管理自动配置功能时,管理员现在可以在 SonarQube 服务器 UI 中看到 GitHub 和 GitLab 项目中分配给每个组的用户。这让识别 SonarQube Server 与 GitHub 或 GitLab 之间的问题变得更容易。
Introducing Multi-Quality Rule Mode (10.8)
- 默认情况下,新的 SonarQube 服务器实例使用 MQR 模式。升级后,现有 SonarQube Server 10.1 及更早版本默认配置为标准体验。
Open an issue in the IDE (10.3 and 10.4)
SonarQube 2025.X LTA (Upgrade from 9.9 LTA) 安全合规与分析精度的深化
行业痛点聚焦:传统代码质量保障体系正面临三重断裂——静态工具对复杂逻辑漏洞的"检测盲区"、人工审查的"效率瓶颈",以及AI生成代码快速普及带来的"质量失控风险"。在此背景下,SonarQube通过AI技术重构代码检查范式,成为连接AI生产力与高质量交付的关键桥梁
https://docs.sonarsource.com/sonarqube-server/2025.4/server-update-and-maintenance/release-notes
SonarQube Server 现在可以在 Java 21 环境中运行 (2025.1)
SonarQube Server 实例有两种模式: 标准体验模式和多质量规则 (MQR) 模式 (10.8)
标准体验包括使用规则类型,例如 bug、代码气味和漏洞,每个规则都有一个类型和严重性级别。此方法侧重于根据规则影响最大的单个软件质量(例如安全性、可靠性或可维护性)为规则分配严重性。(保留了9.9 LTA及更早版本用户所熟悉的规则和问题严重性分类)
MQR 模式旨在更准确地表示问题对所有软件质量的影响。它通过为规则分配单独的严重性来实现这一点,因为它可能影响的每个软件质量。这种方法的重点是确保对所有软件质量的影响是明确的,而不仅仅是受影响最严重的软件质量。
**Languages, analyzers and scanners **
项目级别安全报告 PDF 的改进 (2025.4)
新增针对CWE Top 25 2022和2023、STIG和CASA安全风险的标准报告
支持的报告标准包括:
PCI DSS(版本 4.0 和 3.2.1)
OWASP Top 10(版本 2021 和 2017)
CWE Top 25(版本 2022、2021 和 2020)
OWASP ASVS(版本 4.0,支持 Level 1 到 Level 3)
STIG
CASA
SonarQube Advanced Security 正式发布 (2025.3)
无需重新分析即可自动检测新的依赖风险 (2025.4)
机器可读 SCA 报告 (2025.4)。提供项目、应用程序和项目组合的依赖风险的机器可读报告,提供 JSON 和 CSV 格式。该报告包括项目、依赖项链、风险标题、CVE/CWE ID、严重性、发现日期、状态和修复信息等详细信息
SCA 的可定制风险严重性 (2025.4)。允许自定义 SonarQube 中依赖风险的严重性级别,从而使您能够调整风险对特定软件质量的影响
SCA 风险评级 (2025.4)为软件组合分析 (SCA) 引入 ABCDE 风险评级,特别是针对总体依赖风险、安全依赖风险(漏洞)和可维护性依赖风险(不允许的许可证)。
Secrets Detection (2025.4, 2025.3)
机密检测现在涵盖 400 多种不同的机密模式,由 346 条规则提供支持。此更新包括许多新添加的规则,目前处于测试阶段,旨在进一步增强您的安全覆盖范围。默认情况下,所有新规则都处于活动状态
在IDE中使用SonarLint,当您在开发代码时,不小心将一个看起来像机密的字符串写入或粘贴到代码中,将触发Sonar的60个机密规则支持的110个机密模式之一
Sonar的深度SAST现已覆盖2000多个公共Java库,显著提升了发现隐藏漏洞的能力。通过对Java安全分析引擎的更新,其在主要基准测试中的真阳性率达到了约90%。新增了200多条针对Spring框架的安全规则,达到完全覆盖级别。此外,还增加了40多条最佳实践规则,以避免Dockerfile中的安全配置错误,确保Docker部署的安全性。 (10.5)
污点分析能力: 能够识别跨文件的复杂安全漏洞,检测并分析执行路径的全部文件。
AI feature
AI代码溯源(AutoDetect AI Code)(2025.3)
AutoDetect AI Code通过"识别-评估-标记"三位一体流程,实现对AI生成代码的全生命周期风险管控
https://www.shcsinfo.com/eb-documentazione-tecnica/detecting-github-copilot-code-with-sonarqube
Sonar AI Code Assurance(AI代码保障)
允许开发人员标记包含AI生成代码的项目,以启动自动分析。在2025.1 LTA中,SonarQube Server可以自动检测GitHub项目中由GitHub Copilot创建的代码。SonarQube Server为包含AI生成代码的项目提供实时质量评估和通过/失败的标记,确保只有高质量的AI生成代码才能投入生产。
Sonar首席执行官Tariq Shaukat指出,AI生成代码中的常见问题不同于人工编码中发现的问题。“AI不会犯拼写和语法问题等简单的错误。” 他说,“AI代码出现的问题往往较为复杂,需要理解上下文。它有更复杂的Bug和安全问题,还可能让你产生幻觉,比如调用不存在的库或未定义的变量。”
通过AI CodeFix加速问题解决https://www.sonarsource.com/solutions/ai/ai-codefix/
AI CodeFix(AI代码修复)使用OpenAI的大型语言模型自动生成改进代码质量的建议,并计划支持其他模型。开发人员可以使用SonarLint(一种开源的代码质量和静态分析工具)来修复问题。该服务支持Java、JS/TS、C#、Python 和 C/C++,未来将会支持其他语言。
当SonarQube检测到代码问题时,系统自动提取受影响代码片段、变量作用域及问题描述,输入至指定LLM(如GPT-4、Claude 3.5)生成修复建议。例如,针对CORS跨域问题,AI可生成包含预检请求处理的完整解决方案
SonarQube AI功能演进路线
SonarQube AI功能迭代呈现"技术深化与场景扩展并行"特征,关键节点如下
UI界面的变化
- 用户精确分类
- 支持审计日志
- 后台任务日志支持更多的类型
- 问题修复界面UI变化
- 每次分析变化的对比
- 登录提示信息/公告
总结
版本定位
8.9 LTA:2021 年发布的长期支持版本,强化安全性和基础功能
9.9 LTA:2023 年发布的长期支持版本,性能优化与企业级功能增强
10.8:2024 年底发布的过渡版本,引入 AI 能力与新操作模式
2025.4 LTA:最新长期支持版本,聚焦分析精度、安全合规与依赖管理
升级建议
8.9 → 9.9:必选升级,性能与安全性全面提升,建议生产环境尽快完成
9.9 → 10.8:可选升级,适合准备拥抱 AI 代码分析的团队
10.8 → 2025.4:强烈推荐,尤其对安全合规要求高的组织,新污点分析和 SCA 功能显著提升防御能力
升级路径计算
https://docs.sonarsource.com/sonarqube-server/server-update-and-maintenance/update/determine-path
参考
https://www.sonarsource.com/products/sonarqube/mcp-server/
https://next.sonarqube.com/sonarqube/web\_api
How to use AI CodeFix in #SonarQube server?
相关文章
SonarQube之采购选型参考
SonarQube系列-通过配置扫描分析范围,聚焦关键问题
SonarQube系列-全面了解认证&授权的配置,基于权限模块快速授权用户-群组-项目
SonarQube系列-架构与外部集成
