SonarQube 是一种自动代码审查工具，用于检测代码中的错误，漏洞和代码异味。它可以与您现有的工作流程集成，以便在项目分支和拉取请求之间进行连续的代码检查。

# 代码质量和代码安全

SonarQube 使所有开发人员能够编写更清洁、更安全的代码。

为开发团队提供深度集成到您的企业环境中的解决方案，使您能够一致且可靠地部署干净的代码。

# 代码质量

01 与您的环境深度集成

自我管理，深度集成到您的企业环境中。可扩展以满足您的特殊需求，并在规模和定价方面灵活。除非您另有选择，否则始终保持私密。

02 企业级报告和汇总

安全报告、执行汇总和 PDF 报告为大型组织提供评估其软件资产风险所需的监督。

03 随时随地为每个人提供清洁代码

围绕清洁代码的共同愿景联合开发人员。专注于新代码的共享质量门意味着每个人都符合定义的标准并在今天交付干净的代码。

**04 ** 深度集成到您的 CI/CD 管道中

管道中的拉取请求分析和质量门状态为您提供早期反馈，以始终如一地交付干净的代码。让每一次新的生产交付都比上一次更好。

# 产品特点

使您的团队能够在工作流程的每一步为每个项目系统地交付符合高质量标准的代码。

01 29 种语言，包括基础设施即代码

分析项目中所有语言的质量。通过单一事实来源修补错误、关闭漏洞并遵循实践。

**02 ** 与 DevOps 平台集成

GitHub、GitLab、Azure、Bitbucket 中的项目入职和 PR 装饰；云端和本地。加上一个 Jenkins 插件和与其他 CI/CD 系统的轻松集成。

03 清除通过 / 不通过质量门

当代码质量不符合您定义的要求并阻止合并或部署问题时，使管道失败。

04 高可操作性

在 Docker 上或使用具有垂直和水平扩展支持以及多线程服务器端处理的 Kubernetes 以您的方式运行您的实例。

05 超快速分析

超快速分析可帮助您快速评估代码在拉取请求和分支中的位置，以便您可以在您的代码仍然记忆犹新时修复问题。

06 可操作的、高度精确的结果

在正确的地点和时间接收可操作的高精度反馈。受益于 5,000 多个编码规则和行业领先的 Java、C#、PHP、Python、TypeScript 和 JavaScript 污点分析。

07 共享、统一的配置

使您的团队在代码健康的统一定义上保持一致。跨项目与您的团队高效协作，以满足您在质量档案中设定的期望。

08 Sonarlint IDE 集成

从您开始编写代码的那一刻起，将 SonarQube 配置和设置扩展到您的 IDE 以实现一致、可靠的分析。

# 代码质量

质量门会在每次分析时告诉您您的代码是否已准备好发布。

01 质量门展示您的项目可发布性

Bugs suck

提供有缺陷的软件会损害您的声誉和用户的信心。

保护您的声誉

开箱即用，SonarQube 清楚地表明您的提交是否干净，您的项目是否可发布，以及您的组织是否达到目标。

获得明确的反馈

如果你没有达到目标，你会立即知道出了什么问题以及如何解决它。如果所有反馈都那么清晰和直接，那不是很好吗？

02 在整个开发周期中始终将质量放在首位

质量门通过指标

您不会在最后一刻对质量问题感到惊讶。SonarQube 在每次构建时为您提供清晰的可发布性指标。

质量门失败指示器

质量门将团队围绕共同的质量愿景凝聚在一起。每个人都知道标准以及它是否得到满足。

您需要的数据

推送通知和开放式 API 使与您的其他系统的集成变得轻松。从墙板到 CI/CD 集成，您可以轻松了解项目的可发布性。

与你一起成长

Sane 默认开箱即用，但您可以在团队更加强大时时提高标准。

03 项目中所有语言的 单一事实来源

SonarQube 将相同的质量门应用于您项目中的所有语言，因此当它说 “开始” 时，真的没有什么能阻止您。

04 从首次承诺到企业监督

从拉取请求分析和装饰到执行概述，请密切关注您的可发布性。

拉取请求分析为您提供了明确的合并到 master 的 go/no-go。使用 SonarQube 作为审阅者，您（几乎）立即知道您的代码是否足以合并。

05 可视化团队成功

投资组合让您可以立即了解整个部门所有项目的健康状况，包括项目的平均可发布性。

（总体概述）

（趋势与项目数量）

# 代码安全

使用静态应用程序安全测试 (SAST) 在代码审查中检测安全问题

01 代码安全不再是安全团队的领域

除了文字（DevSecOps、SDLC 等）之外，真正的机会在于开发人员编写更安全的代码，使用 SonarQube 检测漏洞和安全热点，对其进行解释，并给出适当的后续步骤。

取得所有权

在代码审查期间获得安全反馈是您了解更多信息并获得代码安全所有权的机会。

IDE 集成

在 SonarQube 中查找漏洞和安全热点，并在您的 IDE 中以 SonarLint 为指导进行修复。

质量门

在您的质量门中执行漏洞标准和安全热点审查，以确保您只合并安全代码。

保持安全

对问题及其影响的深入理解会导致更好的修复和更安全的应用程序。

02 以开发团队为首的合理模式解决安全问题

安全热点 — 代码审查

安全热点是对安全敏感代码的使用。他们可能没问题，但需要人工审查才能确定。

随着开发人员编写代码并与安全热点进行交互，他们学习评估安全风险，同时更多地了解安全编码实践。

安全漏洞 — 代码更改修复

安全漏洞需要立即采取行动。SonarQube 提供了详细的问题描述和代码亮点，解释了您的代码存在风险的原因。

只需按照指导，签入修复程序并保护您的应用程序。

OWASP 前 10 名

OWASP Top 10 代表了安全专业人士对 Web 应用程序最关键的安全风险的广泛共识。SonarQube 提供多种语言的重要 OWASP 前 10 名覆盖，以帮助您保护您的系统、数据和用户。

03 通过污点分析提供最大保护

污点分析

确保用户提供的数据在到达关键系统（数据库、文件系统、操作系统等）之前进行清理有助于确保您的代码安全。污点分析在整个执行流程中跟踪不受信任的用户输入 —— 不仅跨越方法，还跨越文件。

重要语言的关键安全规则

获取与关键语言高度相关的规则，以帮助确保您的代码安全。

04 在企业级别跟踪安全合规性

专用报告可让您针对 OWASP Top 10 和 CWE Top 25（所有三个版本：2021、2020 和 2019）跟踪代码安全性。SonarSource 报告可帮助安全专业人员将安全问题转化为开发人员能够理解的语言。