SonarQube Server 2026.2.0.121184 - 代码质量、安全与静态分析工具
SonarQube Server 2026 Release 2 (macOS, Linux, Windows) - 代码质量、安全与静态分析工具
Self-managed static analysis tool for continuous codebase inspection
请访问原文链接:https://sysin.org/blog/sonarqube/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
SonarQube Server
代码质量和安全性由您掌控
之前称为 SonarQube,本地部署的用于持续代码库检查的静态分析工具
保持 AI 生成的代码干净
释放 AI 编码助手的强大功能,而无需承担不良、不安全代码的风险。SonarQube Server 是您的干净代码解决方案,可以部署在任何地方、本地或云环境中。
受到 700 万开发者和 400,000 多个组织的使用和喜爱
提高代码质量的代码质量工具
您的代码是一项商业资产。通过 SonarQube Server 达到干净代码状态,实现代码的最高价值。
SonarQube Server 功能:
代码智能
利用 SonarQube 的深度洞察,更全面地了解您的代码库。通过减少认知负荷来提高开发人员的生产力。
与顶级 DevOps 平台集成
轻松加入项目。与 GitHub Actions、GitLab CI/CD、Azure Pipelines、Bitbucket Pipelines 和 Jenkins 集成,以自动触发分析并显示您工作地点的代码运行状况。
代码审查
通过 SonarQube 的质量阈值,防止不符合策略的代码进入生产环境。消除人工编写和 AI 生成代码中的问题,从而降低后期修复成本。
高性能和可操作性
按照您的方式进行部署,无论是在本地、在云中、作为服务器、使用 Docker 或 Kubernetes。多线程、多个计算引擎和特定于语言的加载可提供最佳性能。
顶级分析速度和准确性
在几分钟而不是几小时内收到可操作的清洁代码指标 (sysin)。Clean as You Code 会在您工作时检查较小的代码片段,为您提供有关新代码质量的准确反馈。
重要语言的关键安全规则
在您的开发工作流程中,在正确的时间和正确的位置无缝地发现编码问题。受益于 6,000 多个规则以及行业领先的 Java、C#、PHP、Python 等污点分析。
共享、统一的配置
设置特定的编码标准,使您的团队在代码健康方面保持一致并实现您的代码质量目标。另外,“边编程边学习” 可将开发人员的技能提升到同样高的水平。
用于 IDE 的 SonarQube
添加 SonarQube for IDE 扩展并将其连接到 SonarQube 服务器,以便在编码时动态查找编码问题,并确保您的团队遵循单一受监管的编码标准。
测量代码覆盖率
查看测试执行的代码库的百分比,以获得有关代码运行状况的宝贵见解。引导您到覆盖率低的领域进行改进。
基于开源,满足所有需求的版本
SonarQube Server 版本:
Community Build
免费开源,可提高开发效率和代码质量。
Developer Edition
小型团队和企业的基本功能。
Enterprise Edition
为现代企业提供更深入的见解和绩效。
Data Center Edition
任务关键型高可用性、可扩展性和性能。
什么是 LTA 版本?
LONG-TERM ACTIVE
SonarQube Server Long-Term Active (LTA)
为客户提供最佳体验、创新功能和世界一流的支持,以实现持续的业务成功。
什么是长期活跃 (LTA)
LTA 是指每 12 个月发布一次的 SonarQube Server 版本(以前称为长期支持或 LTS)。它是产品的功能完整版本,将保持活动状态更长的时间。大型组织有时更愿意继续使用 LTA,因为他们无法经常升级,而是选择每 12 个月升级一次。
新增功能
SonarQube Server 2026.2 统一安全与报告
了解 SonarQube Server 2026.2 的新变化。探索重新设计的用户体验、Java 25 支持以及统一的安全报告。通过与模型无关的 AI CodeFix,更快修复漏洞,保护软件供应链安全。立即提升你的代码质量。
重新设计了开发者工作空间,深化语言智能以捕捉细微的 AI 生成错误,并统一安全报告,为你提供软件供应链风险的完整视图。
✅ 开发者体验与生产力
降低认知负担,减少上下文切换,并利用 AI 帮助开发者更快修复问题。
- 重新设计的导航与工作区体验: 全面改造了 SonarQube Server 用户界面,提供统一且无缝的平台体验 (sysin)。横向顶部菜单已被直观的垂直侧边栏和新的上下文切换器替代。这使开发者和管理者可以在不同项目和组合之间快速跳转而不丢失上下文,降低认知负担并加速问题发现。
- 扩展的 AI CodeFix 功能: 通过在安全环境中使用任意 LLM(包括本地部署模型)提供智能 AI 修复建议,加速问题修复流程。这确保代码问题可以快速修复,同时保证专有代码不会暴露给外部公共 LLM。此外,AI CodeFix 覆盖范围扩展,现在可为 Java、Python、JavaScript、TypeScript、C#、C++ 以及 HTML 和 CSS 中最多 70% 的问题生成自动修复建议。在测试中,这相当于一年内可修复 SonarQube Cloud 中约 80% 的问题。
✅ 扩展语言与框架支持
扩展了深度静态分析能力,以支持最新的企业级编程语言与框架,专门针对现代 AI 编码助手 常引入的隐蔽错误。
- 全面支持 Java 25 与智能分析: 为你的代码库提供面向未来的支持,实现 Java 25 LTS 的无错误解析和深度语义分析。新增关键规则,用于检测语法正确但语义错误的代码(通常由基于旧 API 训练的 AI 生成),防止严重运行时崩溃。
- 增强 Python Web 框架支持: 为你的 Python 应用新增 14 条 FastAPI 规则、8 条 Flask 规则以及 Django 专用规则。这些规则强化 API 合约、保证框架安全机制,并防止查询参数中的敏感数据泄露。
- 首次提供 Groovy 一等支持: 通过 20 多条新代码质量规则扩展 CI/CD 管道中的 Groovy 支持。
- 增强 Apex 支持并实现 PMD 等价: 将 Salesforce 开发工具整合至 SonarQube。提供企业级 Apex 分析,实现与 PMD 的功能等价,并将误报率控制在 5% 以下。
✅ 企业安全与治理
为安全负责人和合规团队提供更精细的控制能力与整体风险视图,覆盖自研代码与第三方依赖。
- 结构化代码内问题解决(
sonar-resolve): 在开发者便利性与企业审计需求之间建立桥梁。替代过去不透明的NOSONAR注释,开发者现在必须使用sonar-resolve注释并附带明确的解决状态(如 accept 或 fp)来抑制规则,该状态将与 SonarQube UI 严格同步。 - 统一依赖风险安全报告: 实现软件安全态势的全局视图。对于使用 SonarQube Advanced Security 的用户,的安全报告现在在项目、应用和组合层级中直接集成软件组成分析(SCA)数据,同时在 UI 和导出 PDF 中统一展示,将一方代码与第三方依赖风险合并分析。此外,项目合规报告下载中新增 SBOM 与依赖风险信息。
- Python Top 1000 高级 SAST 配置: 在 SonarQube Advanced Security 中,通过扩展高级静态应用安全测试(ASAST)支持前 1000 个最常用库,显著提升 Python 安全分析精度,大幅降低误报与漏报。
系统要求
操作系统要求:
- Linux (x64, AArch64)。建议使用主流发行版:
- 参看:Linux 产品链接汇总
- Windows (x64)。建议主流支持版本:
- macOS (x64, AArch64)。建议主流支持版本:
建议运行在虚拟机环境中,推荐使用本站原创虚拟机模板 OVF,简单、精准、高效。
软件要求已更新:包含在文档中。
下载地址
SonarQube Server 2026 Release 2 Data Center Edition for macOS, Linux, Windows | March 2026 | 2026.2.0.121184
更多:HTTP 协议与安全
SonarQube Server 2026.2.0.121184 - 代码质量、安全与静态分析工具
SonarQube Server 2026 Release 2 (macOS, Linux, Windows) - 代码质量、安全与静态分析工具
Self-managed static analysis tool for continuous codebase inspection
请访问原文链接:https://sysin.org/blog/sonarqube/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
SonarQube Server
代码质量和安全性由您掌控
之前称为 SonarQube,本地部署的用于持续代码库检查的静态分析工具
保持 AI 生成的代码干净
释放 AI 编码助手的强大功能,而无需承担不良、不安全代码的风险。SonarQube Server 是您的干净代码解决方案,可以部署在任何地方、本地或云环境中。
受到 700 万开发者和 400,000 多个组织的使用和喜爱
提高代码质量的代码质量工具
您的代码是一项商业资产。通过 SonarQube Server 达到干净代码状态,实现代码的最高价值。
SonarQube Server 功能:
代码智能
利用 SonarQube 的深度洞察,更全面地了解您的代码库。通过减少认知负荷来提高开发人员的生产力。
与顶级 DevOps 平台集成
轻松加入项目。与 GitHub Actions、GitLab CI/CD、Azure Pipelines、Bitbucket Pipelines 和 Jenkins 集成,以自动触发分析并显示您工作地点的代码运行状况。
代码审查
通过 SonarQube 的质量阈值,防止不符合策略的代码进入生产环境。消除人工编写和 AI 生成代码中的问题,从而降低后期修复成本。
高性能和可操作性
按照您的方式进行部署,无论是在本地、在云中、作为服务器、使用 Docker 或 Kubernetes。多线程、多个计算引擎和特定于语言的加载可提供最佳性能。
顶级分析速度和准确性
在几分钟而不是几小时内收到可操作的清洁代码指标 (sysin)。Clean as You Code 会在您工作时检查较小的代码片段,为您提供有关新代码质量的准确反馈。
重要语言的关键安全规则
在您的开发工作流程中,在正确的时间和正确的位置无缝地发现编码问题。受益于 6,000 多个规则以及行业领先的 Java、C#、PHP、Python 等污点分析。
共享、统一的配置
设置特定的编码标准,使您的团队在代码健康方面保持一致并实现您的代码质量目标。另外,“边编程边学习” 可将开发人员的技能提升到同样高的水平。
用于 IDE 的 SonarQube
添加 SonarQube for IDE 扩展并将其连接到 SonarQube 服务器,以便在编码时动态查找编码问题,并确保您的团队遵循单一受监管的编码标准。
测量代码覆盖率
查看测试执行的代码库的百分比,以获得有关代码运行状况的宝贵见解。引导您到覆盖率低的领域进行改进。
基于开源,满足所有需求的版本
SonarQube Server 版本:
Community Build
免费开源,可提高开发效率和代码质量。
Developer Edition
小型团队和企业的基本功能。
Enterprise Edition
为现代企业提供更深入的见解和绩效。
Data Center Edition
任务关键型高可用性、可扩展性和性能。
什么是 LTA 版本?
LONG-TERM ACTIVE
SonarQube Server Long-Term Active (LTA)
为客户提供最佳体验、创新功能和世界一流的支持,以实现持续的业务成功。
什么是长期活跃 (LTA)
LTA 是指每 12 个月发布一次的 SonarQube Server 版本(以前称为长期支持或 LTS)。它是产品的功能完整版本,将保持活动状态更长的时间。大型组织有时更愿意继续使用 LTA,因为他们无法经常升级,而是选择每 12 个月升级一次。
新增功能
SonarQube Server 2026.2 统一安全与报告
了解 SonarQube Server 2026.2 的新变化。探索重新设计的用户体验、Java 25 支持以及统一的安全报告。通过与模型无关的 AI CodeFix,更快修复漏洞,保护软件供应链安全。立即提升你的代码质量。
重新设计了开发者工作空间,深化语言智能以捕捉细微的 AI 生成错误,并统一安全报告,为你提供软件供应链风险的完整视图。
✅ 开发者体验与生产力
降低认知负担,减少上下文切换,并利用 AI 帮助开发者更快修复问题。
- 重新设计的导航与工作区体验: 全面改造了 SonarQube Server 用户界面,提供统一且无缝的平台体验 (sysin)。横向顶部菜单已被直观的垂直侧边栏和新的上下文切换器替代。这使开发者和管理者可以在不同项目和组合之间快速跳转而不丢失上下文,降低认知负担并加速问题发现。
- 扩展的 AI CodeFix 功能: 通过在安全环境中使用任意 LLM(包括本地部署模型)提供智能 AI 修复建议,加速问题修复流程。这确保代码问题可以快速修复,同时保证专有代码不会暴露给外部公共 LLM。此外,AI CodeFix 覆盖范围扩展,现在可为 Java、Python、JavaScript、TypeScript、C#、C++ 以及 HTML 和 CSS 中最多 70% 的问题生成自动修复建议。在测试中,这相当于一年内可修复 SonarQube Cloud 中约 80% 的问题。
✅ 扩展语言与框架支持
扩展了深度静态分析能力,以支持最新的企业级编程语言与框架,专门针对现代 AI 编码助手 常引入的隐蔽错误。
- 全面支持 Java 25 与智能分析: 为你的代码库提供面向未来的支持,实现 Java 25 LTS 的无错误解析和深度语义分析。新增关键规则,用于检测语法正确但语义错误的代码(通常由基于旧 API 训练的 AI 生成),防止严重运行时崩溃。
- 增强 Python Web 框架支持: 为你的 Python 应用新增 14 条 FastAPI 规则、8 条 Flask 规则以及 Django 专用规则。这些规则强化 API 合约、保证框架安全机制,并防止查询参数中的敏感数据泄露。
- 首次提供 Groovy 一等支持: 通过 20 多条新代码质量规则扩展 CI/CD 管道中的 Groovy 支持。
- 增强 Apex 支持并实现 PMD 等价: 将 Salesforce 开发工具整合至 SonarQube。提供企业级 Apex 分析,实现与 PMD 的功能等价,并将误报率控制在 5% 以下。
✅ 企业安全与治理
为安全负责人和合规团队提供更精细的控制能力与整体风险视图,覆盖自研代码与第三方依赖。
- 结构化代码内问题解决(
sonar-resolve): 在开发者便利性与企业审计需求之间建立桥梁。替代过去不透明的NOSONAR注释,开发者现在必须使用sonar-resolve注释并附带明确的解决状态(如 accept 或 fp)来抑制规则,该状态将与 SonarQube UI 严格同步。 - 统一依赖风险安全报告: 实现软件安全态势的全局视图。对于使用 SonarQube Advanced Security 的用户,的安全报告现在在项目、应用和组合层级中直接集成软件组成分析(SCA)数据,同时在 UI 和导出 PDF 中统一展示,将一方代码与第三方依赖风险合并分析。此外,项目合规报告下载中新增 SBOM 与依赖风险信息。
- Python Top 1000 高级 SAST 配置: 在 SonarQube Advanced Security 中,通过扩展高级静态应用安全测试(ASAST)支持前 1000 个最常用库,显著提升 Python 安全分析精度,大幅降低误报与漏报。
系统要求
操作系统要求:
- Linux (x64, AArch64)。建议使用主流发行版:
- 参看:Linux 产品链接汇总
- Windows (x64)。建议主流支持版本:
- macOS (x64, AArch64)。建议主流支持版本:
建议运行在虚拟机环境中,推荐使用本站原创虚拟机模板 OVF,简单、精准、高效。
软件要求已更新:包含在文档中。
下载地址
SonarQube Server 2026 Release 2 Data Center Edition for macOS, Linux, Windows | March 2026 | 2026.2.0.121184
更多:HTTP 协议与安全
