请访问原文链接:SonarQube Server 2025 Release 4 (macOS, Linux, Windows) - 代码质量、安全与静态分析工具 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
SonarQube Server
代码质量和安全性由您掌控
之前称为 SonarQube,本地部署的用于持续代码库检查的静态分析工具
保持 AI 生成的代码干净
释放 AI 编码助手的强大功能,而无需承担不良、不安全代码的风险。SonarQube Server 是您的干净代码解决方案,可以部署在任何地方、本地或云环境中。
受到 700 万开发者和 400,000 多个组织的使用和喜爱
提高代码质量的代码质量工具
您的代码是一项商业资产。通过 SonarQube Server 达到干净代码状态,实现代码的最高价值。
SonarQube Server 功能:
-
代码智能
利用 SonarQube 的深度洞察,更全面地了解您的代码库。通过减少认知负荷来提高开发人员的生产力。
-
与顶级 DevOps 平台集成
轻松加入项目。与 GitHub Actions、GitLab CI/CD、Azure Pipelines、Bitbucket Pipelines 和 Jenkins 集成,以自动触发分析并显示您工作地点的代码运行状况。
-
代码审查
通过 SonarQube 的质量阈值,防止不符合策略的代码进入生产环境。消除人工编写和 AI 生成代码中的问题,从而降低后期修复成本。
-
高性能和可操作性
按照您的方式进行部署,无论是在本地、在云中、作为服务器、使用 Docker 或 Kubernetes。多线程、多个计算引擎和特定于语言的加载可提供最佳性能。
-
顶级分析速度和准确性
在几分钟而不是几小时内收到可操作的清洁代码指标 (sysin)。Clean as You Code 会在您工作时检查较小的代码片段,为您提供有关新代码质量的准确反馈。
-
重要语言的关键安全规则
在您的开发工作流程中,在正确的时间和正确的位置无缝地发现编码问题。受益于 6,000 多个规则以及行业领先的 Java、C#、PHP、Python 等污点分析。
-
共享、统一的配置
设置特定的编码标准,使您的团队在代码健康方面保持一致并实现您的代码质量目标。另外,“边编程边学习” 可将开发人员的技能提升到同样高的水平。
-
用于 IDE 的 SonarQube
添加 SonarQube for IDE 扩展并将其连接到 SonarQube 服务器,以便在编码时动态查找编码问题,并确保您的团队遵循单一受监管的编码标准。
-
测量代码覆盖率
查看测试执行的代码库的百分比,以获得有关代码运行状况的宝贵见解。引导您到覆盖率低的领域进行改进。
Sonar 的人工智能
-
新的 AI 代码保证
Sonar AI 代码保证是一个强大且简化的流程,用于通过结构化和全面的分析来验证 AI 生成的代码。这确保了每一段新代码在投入生产之前都符合最高的质量和安全标准。
-
AI CodeFix 简介
Sonar AI CodeFix 是一项强大的功能 (sysin),可为代码分析解决方案 SonarQube Server 和 SonarQube Cloud 发现的问题提供代码修复建议。只需单击一下,您就可以获得有关如何解决一系列问题的建议,从而简化问题解决流程。
安全漏洞检测
增强的开发人员安全工具 | 安全与机密信息检测
-
静态代码分析
Sonar 的静态应用程序安全测试 (SAST) 引擎可检测代码中的安全漏洞,以便在构建和测试应用程序之前消除这些漏洞。使用 SAST 为复杂项目实现强大的应用程序安全性和合规性。
-
机密信息检测
SonarQube Server 包含一个强大的机密信息检测工具,这是用于检测和删除代码中机密信息的最全面的解决方案之一。与 SonarQube for IDE 一起使用,它可以防止机密信息泄露并成为严重的安全漏洞。
-
安全标准合规性
SonarQube Server 可帮助您遵守通用代码安全标准,例如 NIST SSDF。将 SonarQube Server 与 SonarQube for IDE 结合使用,可以自动检查项目代码是否存在安全漏洞,并提高整体代码质量。
基于开源,满足所有需求的版本
SonarQube Server 版本:
-
Community Build
免费开源,可提高开发效率和代码质量。
-
Developer Edition
小型团队和企业的基本功能。
-
Enterprise Edition
为现代企业提供更深入的见解和绩效。
-
Data Center Edition
任务关键型高可用性、可扩展性和性能。
系统要求
(1) Java
The SonarQube server requires Java version 17.
For the SonarScanners, the minimum recommended version is Java 17.
SonarQube is able to analyze any kind of Java source files regardless of the version of Java they comply with.
We recommend using the critical patch update (CPU) releases.
| Java | Server | Scanners |
|---|---|---|
| Oracle JRE | ✅ 17 | ✅ 17 |
| OpenJDK | ✅ 17 | ✅ 17 |
(2) Database
| Database | Version |
|---|---|
| PostgreSQL | ✅ 15 |
| ✅ 14 | |
| ✅ 13 | |
| ✅ 12 | |
| ✅ 11 | |
| ⚠️ Must be configured to use UTF-8 charset | |
| Microsoft SQL Server | ✅ 2022 (MSSQL Server 16.0) with bundled Microsoft JDBC driver. Express Edition is supported. |
| ✅ 2019 (MSSQL Server 15.0) with bundled Microsoft JDBC driver. Express Edition is supported. | |
| ✅ 2017 (MSSQL Server 14.0) with bundled Microsoft JDBC driver. Express Edition is supported. | |
| ✅ 2016 (MSSQL Server 13.0) with bundled Microsoft JDBC driver. Express Edition is supported. | |
| ✅ 2014 (MSSQL Server 12.0) with bundled Microsoft JDBC driver. Express Edition is supported. | |
⚠️ Collation must be case-sensitive (CS) and accent-sensitive (AS) (example: Latin1_General_CS_AS) |
|
⚠️ READ_COMMITTED_SNAPSHOT must be set on the SonarQube database to avoid potential deadlocks under heavy load |
|
| ℹ️ Both Windows authentication (“Integrated Security”) and SQL Server authentication are supported. See the Microsoft SQL Server section in Installing/installation/installing-the-server page for instructions on configuring authentication. | |
| Oracle | ✅ 21C |
| ✅ 19C | |
| ✅ XE Editions | |
⚠️ Must be configured to use a UTF8-family charset (see NLS_CHARACTERSET) |
|
| ⚠️ The driver ojdbc14.jar is not supported | |
| ℹ️ We recommend using the latest Oracle JDBC driver | |
| ⚠️ Only the thin mode is supported, not OCI | |
⚠️ Only MAX_STRING_SIZE=STANDARD parameter is supported, not EXTENDED |
(3) Web Browser
To get the full experience SonarQube has to offer, you must enable JavaScript in your browser.
| Browser | |
|---|---|
| Mozilla Firefox | ✅ Latest |
| Google Chrome | ✅ Latest |
| Safari | ✅ Latest |
(4) Platform notes
Linux
If you’re running on Linux, you must ensure that:
vm.max_map_countis greater than or equal to 524288fs.file-maxis greater than or equal to 131072- the user running SonarQube can open at least 131072 file descriptors
- the user running SonarQube can open at least 8192 threads
You can see the values with the following commands (sysin):
1 | sysctl vm.max_map_count |
You can set them dynamically for the current session by running the following commands as root:
1 | sysctl -w vm.max_map_count=524288 |
macOS
Same as for Linux: If you’re running into maximum file limit issues on macOS, you can fix them by setting the file limit values by running the following commands:
1 | sudo sysctl -w kern.maxfiles=131072 |
什么是 LTA 版本
LONG-TERM ACTIVE
SonarQube Server Long-Term Active (LTA)
为客户提供最佳体验、创新功能和世界一流的支持,以实现持续的业务成功。
什么是长期活跃 (LTA)
LTA 是指每 12 个月发布一次的 SonarQube Server 版本(以前称为长期支持或 LTS)。它是产品的功能完整版本,将保持活动状态更长的时间。大型组织有时更愿意继续使用 LTA,因为他们无法经常升级,而是选择每 12 个月升级一次。
新增功能
SonarQube Server 2025.4
2025-07-31,Sonar 宣布 SonarQube Server 2025.4 版本正式发布。
2025.4 的主要功能:
- 核心安全性增强:为 Go 提供 SAST 支持,为
VB.NET提供污点分析,JS/TS 的污点分析更加稳健,业界领先的机密信息检测能力扩展至 YAML、JSON 和 Kotlin 等格式 - 合规性保障:更多 MISRA C++ 2023 规则现已在 IDE 中提供 (sysin),更全面的安全和合规报告
- 提升代码质量:帮助编写更高可维护性与更高性能的 Python/Java,C/C++ 分析速度大幅提升,支持发现复杂 Java 缺陷,全面支持 Java 23/24 以及 Dart 3.8
- 高级安全功能:SCA(软件组件分析)支持持续漏洞检测,无需重新分析,风险等级可自定义,支持机器可读报告、PHP 依赖项支持,并在 IDE 中识别依赖风险
全新的 2025.4 版本为开发人员带来重要升级,显著提升多种语言的代码质量、安全性与效率。Python 开发者将获得更多帮助,以编写更符合语言规范和更高性能的代码。Java 用户则将受益于新增的性能规则、完整的语法解析能力和对 Java 23 和 24 的全面支持,助您紧跟 Java 最新发展趋势,同时确保代码性能 (sysin)。同时,新增了强大的跨过程 Java 缺陷检测功能,可发现传统静态分析容易遗漏的复杂问题。C 和 C++ 分析速度显著提升,极大缩短了分析时间。还为 Dart 3.8 提供了原生支持。针对 MISRA C++:2023 标准,继续扩展早期访问支持,新增的规则现已可在 IDE 中直接使用,有助于开发者在软件开发生命周期(SDLC)早期实现合规。
静态应用安全测试(SAST)能力进一步增强:新增对 Go 的完整 SAST 和污点分析支持,并引入 VB.NET 的污点分析,扩大语言覆盖范围。还新增了更多机密信息检测规则,包括检测 YAML、JSON 和 Kotlin 中的敏感信息,提供行业领先的检测能力。JavaScript/TypeScript 的污点分析引擎已替换为更强大的分析引擎,带来更准确的安全检测结果。安全报告功能也得到了增强,更易于进行合规文档编制与审计。此外,在 SonarQube 高级安全功能中,现已支持 PHP(Packagist)依赖项分析,能够在无需重新分析的情况下自动检测新漏洞,持续保障项目安全;支持自定义风险等级,便于根据具体情况优先处理问题;提供机器可读的 SCA 报告,便于与安全工作流集成;并能在 IDE 中直接捕获依赖项风险。
更多详细功能介绍,请查阅官方文档。
SonarQube Server 2025 Release 3
Sonar 隆重发布 SonarQube Server 2025 第 3 版(Release 3)
May 29, 2025
Release 3 主要功能亮点:
- 安全性提升:高级安全功能(软件成分分析 SCA 与高级静态应用安全测试 SAST)正式发布,新增 Kotlin 的 SAST 支持,以及扩展的敏感信息检测。
- AI 技术进展:AI CodeFix 正式发布,在 IDE 中直接提供 AI 修复建议。
- 合规性扩展:支持 MISRA:C++ 2024、CWE Top 25 2024、OWASP 移动十大安全风险(Mobile Top 10)。
- 语言支持增强:新增对 Rust、PySpark 的支持 (sysin),以及更多 Java 保护机制。
SonarQube Server 2025 Release 3 带来了重大更新,致力于将代码质量与代码安全整合于同一平台。此版本助您统一工具链,以实现对第一方及第三方代码的安全性和可维护性保障 (sysin)。本次正式发布的高级安全功能结合了软件成分分析(SCA)和高级静态应用安全测试(SAST),并引入对 Kotlin 的 SAST 支持以及更强的敏感信息检测能力。
现在,借助 AI CodeFix 在 Enterprise Edition 与 Data Center Edition 中的正式发布,您可在 IDE 中一键修复问题,获得自动化修复建议。
此外,通过新增 MISRA:C++ 2024 规则、CWE Top 25 2024 和 OWASP 移动十大风险的合规报告,确保您的代码符合严格的合规标准。还拓展了语言支持,新增了 Rust 和 PySpark,并增强了对 Java 22 与 Java 23 的原生保护。
有关此次发布的更多信息,请参阅官方发行说明。
SonarQube Server 2025 Release 3.1
2026 年 6 月 19 日
-
若干漏洞修复及安全改进
根据社区公告,此次 Release 3.1 修复了一些 bug 和安全风险,尤其解决了 2025.3.0 版本中的错误告警问题。 -
消除 EOL (生命周期结束)误报
在 2025.3.0 中出现的错误 “End‑of‑Life Warning” 已在此版本中修复。社区强烈建议尽快更新,以修复此告警并获得最新改进。
下载地址
SonarQube Server 2025.1 LTA Data Center Edition for macOS, Linux, Windows | January 2025 | 2025.1.0.102418
SonarQube Server 2025 Release 2 Data Center Edition for macOS, Linux, Windows | March 2025 | 2025.2.0.105476
SonarQube Server 2025 Release 3 Data Center Edition for macOS, Linux, Windows | May 2025 | 2025.3.0.108892
SonarQube Server 2025 Release 3.1 Data Center Edition for macOS, Linux, Windows | Jun 2025 | 2025.3.1.109879
SonarQube Server 2025 Release 4.1 Data Center Edition for macOS, Linux, Windows | July 2025 | 2025.4.1.111832
提示:25.4 文档已发布,下载页面暂不可用,稍后更新。
更新:跳过了 25.4 版本,发布了 25.4.1,暂不可用。
更多:HTTP 协议与安全
文章用于推荐和分享优秀的软件产品及其相关技术,所有软件默认提供官方原版(免费版或试用版),免费分享。对于部分产品笔者加入了自己的理解和分析,方便学习和研究使用。任何内容若侵犯了您的版权,请联系作者删除。如果您喜欢这篇文章或者觉得它对您有所帮助,或者发现有不当之处,欢迎您发表评论,也欢迎您分享这个网站,或者赞赏一下作者,谢谢!
支付宝赞赏
微信赞赏
赞赏一下