SonarQube Server 2025 Release 5 (macOS, Linux, Windows) - 代码质量、安全与静态分析工具

请访问原文链接：SonarQube Server 2025 Release 5 (macOS, Linux, Windows) - 代码质量、安全与静态分析工具 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

SonarQube Server

代码质量和安全性由您掌控

之前称为 SonarQube，本地部署的用于持续代码库检查的静态分析工具

保持 AI 生成的代码干净

释放 AI 编码助手的强大功能，而无需承担不良、不安全代码的风险。SonarQube Server 是您的干净代码解决方案，可以部署在任何地方、本地或云环境中。

受到 700 万开发者和 400,000 多个组织的使用和喜爱

提高代码质量的代码质量工具

您的代码是一项商业资产。通过 SonarQube Server 达到干净代码状态，实现代码的最高价值。

SonarQube Server 功能：

• 代码智能

  利用 SonarQube 的深度洞察，更全面地了解您的代码库。通过减少认知负荷来提高开发人员的生产力。

• 与顶级 DevOps 平台集成

  轻松加入项目。与 GitHub Actions、GitLab CI/CD、Azure Pipelines、Bitbucket Pipelines 和 Jenkins 集成，以自动触发分析并显示您工作地点的代码运行状况。

• 代码审查

  通过 SonarQube 的质量阈值，防止不符合策略的代码进入生产环境。消除人工编写和 AI 生成代码中的问题，从而降低后期修复成本。

• 高性能和可操作性

  按照您的方式进行部署，无论是在本地、在云中、作为服务器、使用 Docker 或 Kubernetes。多线程、多个计算引擎和特定于语言的加载可提供最佳性能。

• 顶级分析速度和准确性

  在几分钟而不是几小时内收到可操作的清洁代码指标 (sysin)。Clean as You Code 会在您工作时检查较小的代码片段，为您提供有关新代码质量的准确反馈。

• 重要语言的关键安全规则

  在您的开发工作流程中，在正确的时间和正确的位置无缝地发现编码问题。受益于 6,000 多个规则以及行业领先的 Java、C#、PHP、Python 等污点分析。

• 共享、统一的配置

  设置特定的编码标准，使您的团队在代码健康方面保持一致并实现您的代码质量目标。另外，“边编程边学习” 可将开发人员的技能提升到同样高的水平。

• 用于 IDE 的 SonarQube

  添加 SonarQube for IDE 扩展并将其连接到 SonarQube 服务器，以便在编码时动态查找编码问题，并确保您的团队遵循单一受监管的编码标准。

• 测量代码覆盖率

  查看测试执行的代码库的百分比，以获得有关代码运行状况的宝贵见解。引导您到覆盖率低的领域进行改进。

Sonar 的人工智能

• 新的 AI 代码保证

  Sonar AI 代码保证是一个强大且简化的流程，用于通过结构化和全面的分析来验证 AI 生成的代码。这确保了每一段新代码在投入生产之前都符合最高的质量和安全标准。

• AI CodeFix 简介

  Sonar AI CodeFix 是一项强大的功能 (sysin)，可为代码分析解决方案 SonarQube Server 和 SonarQube Cloud 发现的问题提供代码修复建议。只需单击一下，您就可以获得有关如何解决一系列问题的建议，从而简化问题解决流程。

安全漏洞检测

增强的开发人员安全工具 | 安全与机密信息检测

• 静态代码分析

  Sonar 的静态应用程序安全测试 (SAST) 引擎可检测代码中的安全漏洞，以便在构建和测试应用程序之前消除这些漏洞。使用 SAST 为复杂项目实现强大的应用程序安全性和合规性。

• 机密信息检测

  SonarQube Server 包含一个强大的机密信息检测工具，这是用于检测和删除代码中机密信息的最全面的解决方案之一。与 SonarQube for IDE 一起使用，它可以防止机密信息泄露并成为严重的安全漏洞。

• 安全标准合规性

  SonarQube Server 可帮助您遵守通用代码安全标准，例如 NIST SSDF。将 SonarQube Server 与 SonarQube for IDE 结合使用，可以自动检查项目代码是否存在安全漏洞，并提高整体代码质量。

基于开源，满足所有需求的版本

SonarQube Server 版本：

• Community Build

  免费开源，可提高开发效率和代码质量。

• Developer Edition

  小型团队和企业的基本功能。

• Enterprise Edition

  为现代企业提供更深入的见解和绩效。

• Data Center Edition

  任务关键型高可用性、可扩展性和性能。

系统要求

(1) Java

The SonarQube server requires Java version 17.
For the SonarScanners, the minimum recommended version is Java 17.

SonarQube is able to analyze any kind of Java source files regardless of the version of Java they comply with.

We recommend using the critical patch update (CPU) releases.

(2) Database

(3) Web Browser

To get the full experience SonarQube has to offer, you must enable JavaScript in your browser.

(4) Platform notes

Linux

If you’re running on Linux, you must ensure that:

• vm.max_map_count is greater than or equal to 524288
• fs.file-max is greater than or equal to 131072
• the user running SonarQube can open at least 131072 file descriptors
• the user running SonarQube can open at least 8192 threads

You can see the values with the following commands (sysin):

1
2
3
4

sysctl vm.max_map_count
sysctl fs.file-max
ulimit -n
ulimit -u

You can set them dynamically for the current session by running the following commands as root:

1
2
3
4

sysctl -w vm.max_map_count=524288
sysctl -w fs.file-max=131072
ulimit -n 131072
ulimit -u 8192

macOS

Same as for Linux: If you’re running into maximum file limit issues on macOS, you can fix them by setting the file limit values by running the following commands:

1
2
3

sudo sysctl -w kern.maxfiles=131072
sudo sysctl -w kern.maxfilesperproc=131072
ulimit -n 131072

什么是 LTA 版本

LONG-TERM ACTIVE

SonarQube Server Long-Term Active (LTA)

为客户提供最佳体验、创新功能和世界一流的支持，以实现持续的业务成功。

什么是长期活跃 （LTA）

LTA 是指每 12 个月发布一次的 SonarQube Server 版本（以前称为长期支持或 LTS）。它是产品的功能完整版本，将保持活动状态更长的时间。大型组织有时更愿意继续使用 LTA，因为他们无法经常升级，而是选择每 12 个月升级一次。

新增功能

SonarQube Server 2025.5：加快上市速度、强化供应链、防线更牢、开发更高效

发布日期：2025 年 9 月 24 日

2025.5 功能概览：

提升安全性与供应链防护

• 通过检测 GitHub Actions 中的漏洞强化 CI/CD 流水线
• 为 JavaScript/TypeScript 提供更快、更精准的安全分析
• 检测 WPF 框架漏洞 (sysin)，保护 .NET 桌面应用程序

减少开发者负担，提升生产力

• 升级服务器不会中断 CI/CD 流水线
• 提高 Python 自动化代码审查的性能
• 优化 AWS Lambda 中的 Python 无服务器函数
• 更深入检测 Angular 代码，保障 Web 应用质量

企业级合规与治理能力

• 扩展对 MISRA C++:2023 的支持，满足合规需求
• 以自定义节奏推进软件成分分析（SCA）
• 管理全局产品内公告内容，实现定制化通知

为什么 2025.5 对你重要？

此版本是对整个软件开发生命周期的战略性升级，带来了一系列帮助你解决关键挑战的新功能。以下是不同角色的受益点：

• 对开发团队：不中断工作流的更快编码体验

  迎来生产力飞跃！我们引入了非中断式更新，你可以放心使用 SonarQube 新功能，而不用担心 CI/CD 流水线被破坏。Python 代码分析反馈的速度也得到了显著提升，助你更快迭代。JavaScript/TypeScript 开发者将受益于默认启用的新一代安全引擎，提供更精准、可执行的安全建议 (sysin)。Angular 开发者也将发现更多潜在问题，同时学习现代 Angular 模式。此外，还新增对 Python 的 AWS Lambda 无服务器规则支持，以及 .NET WPF 桌面应用的安全检测。

• 对安全与 DevSecOps 团队：保护整个软件供应链

  此版本在安全性方面实现了飞跃。你现在可以通过检测 GitHub Actions 工作流中的漏洞和配置错误，直接加强 CI/CD 流水线对供应链攻击的防御能力。JavaScript/TypeScript 的默认安全引擎更加准确、快速，减少误报。我们还引入了逐步部署 SCA 的能力，你可以按需分阶段推进，无需一次性覆盖整个组织。

• 对平台工程师与管理员：自信地更新与管理

  解决了一个常见的运维难题：非中断更新。现在你可以更有效地管理升级过程，向团队提前沟通变更，避免因构建失败导致大量支持请求。通过按实例和项目粒度部署 SCA 的控制能力，实现战略性采用。你还可以通过新增的全局公告栏功能（支持链接和 Markdown），集中传达关键信息，引导用户行动。

• 对合规团队与工程管理层：加速业务目标、降低风险

  轻松满足合规要求，获得前所未有的可见性。我们扩展了对 MISRA C++:2023 的支持，助力汽车等安全关键行业加速产品上市。同时，通过加强 CI/CD 安全性 (sysin)，有效降低整个供应链的漏洞风险。此版本还可优化 AWS 成本支出，通过修复 Python Lambda 函数中的性能问题。总体而言，此更新提升了从云端到桌面的整体应用安全性，降低企业风险。

SonarQube Server 2025.4

2025-07-31，Sonar 宣布 SonarQube Server 2025.4 版本正式发布。

2025.4 的主要功能：

• 核心安全性增强：为 Go 提供 SAST 支持，为 VB.NET 提供污点分析，JS/TS 的污点分析更加稳健，业界领先的机密信息检测能力扩展至 YAML、JSON 和 Kotlin 等格式
• 合规性保障：更多 MISRA C++ 2023 规则现已在 IDE 中提供 (sysin)，更全面的安全和合规报告
• 提升代码质量：帮助编写更高可维护性与更高性能的 Python/Java，C/C++ 分析速度大幅提升，支持发现复杂 Java 缺陷，全面支持 Java 23/24 以及 Dart 3.8
• 高级安全功能：SCA（软件组件分析）支持持续漏洞检测，无需重新分析，风险等级可自定义，支持机器可读报告、PHP 依赖项支持，并在 IDE 中识别依赖风险

全新的 2025.4 版本为开发人员带来重要升级，显著提升多种语言的代码质量、安全性与效率。Python 开发者将获得更多帮助，以编写更符合语言规范和更高性能的代码。Java 用户则将受益于新增的性能规则、完整的语法解析能力和对 Java 23 和 24 的全面支持，助您紧跟 Java 最新发展趋势，同时确保代码性能 (sysin)。同时，新增了强大的跨过程 Java 缺陷检测功能，可发现传统静态分析容易遗漏的复杂问题。C 和 C++ 分析速度显著提升，极大缩短了分析时间。还为 Dart 3.8 提供了原生支持。针对 MISRA C++:2023 标准，继续扩展早期访问支持，新增的规则现已可在 IDE 中直接使用，有助于开发者在软件开发生命周期（SDLC）早期实现合规。

静态应用安全测试（SAST）能力进一步增强：新增对 Go 的完整 SAST 和污点分析支持，并引入 VB.NET 的污点分析，扩大语言覆盖范围。还新增了更多机密信息检测规则，包括检测 YAML、JSON 和 Kotlin 中的敏感信息，提供行业领先的检测能力。JavaScript/TypeScript 的污点分析引擎已替换为更强大的分析引擎，带来更准确的安全检测结果。安全报告功能也得到了增强，更易于进行合规文档编制与审计。此外，在 SonarQube 高级安全功能中，现已支持 PHP（Packagist）依赖项分析，能够在无需重新分析的情况下自动检测新漏洞，持续保障项目安全；支持自定义风险等级，便于根据具体情况优先处理问题；提供机器可读的 SCA 报告，便于与安全工作流集成；并能在 IDE 中直接捕获依赖项风险。

更多详细功能介绍，请查阅官方文档。

下载地址

SonarQube Server 2025.1 LTA Data Center Edition for macOS, Linux, Windows | January 2025 | 2025.1.0.102418

SonarQube Server 2025.1.3 LTA Data Center Edition for macOS, Linux, Windows | September 2025 | 2025.1.4.113907 (2025-09-24)

• 百度网盘链接：https://pan.baidu.com/s/1W4fK5SnDY4r4TFUU5qkGxQ?pwd= <专享>

SonarQube Server 2025 Release 2 Data Center Edition for macOS, Linux, Windows | March 2025 | 2025.2.0.105476

SonarQube Server 2025 Release 3 Data Center Edition for macOS, Linux, Windows | May 2025 | 2025.3.0.108892

SonarQube Server 2025 Release 3.1 Data Center Edition for macOS, Linux, Windows | Jun 2025 | 2025.3.1.109879

SonarQube Server 2025 Release 4.2 Data Center Edition for macOS, Linux, Windows | July 2025 | 2025.4.2.112048 (2025-08-06)

• 百度网盘链接：https://pan.baidu.com/s/1W4fK5SnDY4r4TFUU5qkGxQ?pwd= <专享>

SonarQube Server 2025 Release 5 Data Center Edition for macOS, Linux, Windows | September 2025 | 2025.5.0.113872 (2025-09-24)

• 百度网盘链接：<待更新>

更多：HTTP 协议与安全

• ← Previous Post
• Next Post →

赞 支付宝赞赏 微信赞赏

赞赏一下