全面解读 SonarQube 8.9 LTS 到 2025.4 的特性变化

DevOps在路上

发布于 2025-11-29 16:07:05

4760

文章被收录于专栏：DevOps实践之路DevOps实践之路

SonarQube是DevOps工具链体系中负责代码质量和技术债务的工具平台，这篇文章将全面解读从SonarQube 8.9 LTS 到 2025.4 LTA的特性变化

SonarQube产品线命名变化

开源/商业版本特性区别

Download SonarQube

2024 年 10 月 29 日SonarQube对产品线进行了简化命名，变化如下

https://www.sonarsource.com/company/press-releases/sonar-streamlines-product-naming-to-reflect-core-mission-of-code-quality-and-security/

新产品命名包括：

SonarQube Server（原SonarQube）
SonarQube Cloud（原SonarCloud）
SonarQube for IDE（原SonarLint）
SonarQube Community Build（原SonarQube Community Edition）

SonarQube发布周期模型

于此同时，发布周期和版本命名进行了调整。另外，将社区版和企业版进行了严格命名上的区分。

SonarQube Server

https://docs.sonarsource.com/sonarqube-server/server-update-and-maintenance/update/release-cycle-model

https://www.sonarsource.com/products/sonarqube/downloads/lts/

SonarQube Server 每两个月发布一次新版本，每年发布新的长期活动（LTA Long-Term Active）版本（以前称为 LTS）。LTA 是该产品的功能完整版本，将获得长期支持。

这意味着 SonarQube Server 每年有六个版本，包括每年年初的 LTA 版本。

SonarQube Community Build

SonarQube Community Build 的新版本每月都会发布。SonarQube Community Build 没有活动版本或长期活动（LTA）版本概念。

SonarQube 9.9 LTA (Upgrade from 8.9) 安全与性能的全面升级

https://docs.sonarsource.com/sonarqube-server/9.9/setup-and-upgrade/release-upgrade-notes

https://docs.sonarsource.com/sonarqube-server/9.9/setup-and-upgrade/lts-to-lts-release-upgrade-notes

Java 17 is required for SonarQube server. Use of Java 11 is no longer supported. See the documentation on Prerequisites and overview for more information. (SONAR-17566); 不再支持使用 Java 8
新的主分支名称默认为“main”（9.8）
Updated built-in Quality Profiles (9.0-9.9)
为了分析 Javascript、Typescript 和 CSS 代码，必须在运行扫描的计算机上安装 Node.js 14.17+
已放弃对 Internet Explorer 11 和其他旧版浏览器的支持
可以生成不同类型的令牌，并且可以为每个特定项目创建不同的分析令牌;新令牌现在可以有一个可选的到期日期。过期的令牌无法使用，必须更新

项目组合概述和项目明细已重新设计 (9.3)

SonarQube 10.8 （Upgrade from 9.9 LTA ） AI 时代的到来

SonarQube AutoConfig: 重新定义C++代码分析（10.6）

使用SonarQube Server设置项目变得更加简单！用于C和C++的AutoConfig消除了对Build Wrapper和 Compilation Database的需求，支持大多数开箱即用的编译器。支持在同一项目中分析多个 C/C++代码变体。通过引导式流程，您可以轻松配置单体仓库中的项目，在一次扫描中完成所有项目的配置。https://www.shcsinfo.com/news-44

更快的首次分析和整体扫描时间 (10.0 and 10.4)

根据基准测试，以前需要数小时才能完成的首次分析现在只需要5分钟或更短的时间。所需的扫描时间和带宽显著减少，因为扫描器现在只会根据项目中的文件和语言下载特定的分析器。

AI features （10.8）

AI Code Assurance custom quality standards
Open AI CodeFix suggestion in Visual Studio

自动配置：增加组成员的可见性（10.8）

使用 GitHub 或 GitLab 管理自动配置功能时，管理员现在可以在 SonarQube 服务器 UI 中看到 GitHub 和 GitLab 项目中分配给每个组的用户。这让识别 SonarQube Server 与 GitHub 或 GitLab 之间的问题变得更容易。

Introducing Multi-Quality Rule Mode (10.8)

默认情况下，新的 SonarQube 服务器实例使用 MQR 模式。升级后，现有 SonarQube Server 10.1 及更早版本默认配置为标准体验。

Open an issue in the IDE (10.3 and 10.4)

SonarQube 2025.X LTA (Upgrade from 9.9 LTA) 安全合规与分析精度的深化

行业痛点聚焦：传统代码质量保障体系正面临三重断裂——静态工具对复杂逻辑漏洞的"检测盲区"、人工审查的"效率瓶颈"，以及AI生成代码快速普及带来的"质量失控风险"。在此背景下，SonarQube通过AI技术重构代码检查范式，成为连接AI生产力与高质量交付的关键桥梁

https://docs.sonarsource.com/sonarqube-server/2025.4/server-update-and-maintenance/release-notes

https://docs.sonarsource.com/sonarqube-server/2025.4/server-update-and-maintenance/lta-to-lta-release-notes

https://docs.sonarsource.com/sonarqube-server/2025.1/server-update-and-maintenance/release-notes-and-notices/lta-to-lta-release-notes

SonarQube Server 现在可以在 Java 21 环境中运行 (2025.1)

SonarQube Server 实例有两种模式：标准体验模式和多质量规则（MQR）模式 (10.8)

https://docs.sonarsource.com/sonarqube-server/2025.1/instance-administration/analysis-functions/instance-mode/instance-mode-overview

标准体验包括使用规则类型，例如 bug、代码气味和漏洞，每个规则都有一个类型和严重性级别。此方法侧重于根据规则影响最大的单个软件质量（例如安全性、可靠性或可维护性）为规则分配严重性。(保留了9.9 LTA及更早版本用户所熟悉的规则和问题严重性分类)
MQR 模式旨在更准确地表示问题对所有软件质量的影响。它通过为规则分配单独的严重性来实现这一点，因为它可能影响的每个软件质量。这种方法的重点是确保对所有软件质量的影响是明确的，而不仅仅是受影响最严重的软件质量。

**Languages, analyzers and scanners **

项目级别安全报告 PDF 的改进（2025.4）

新增针对CWE Top 25 2022和2023、STIG和CASA安全风险的标准报告
支持的报告标准包括：
- PCI DSS（版本 4.0 和 3.2.1）
- OWASP Top 10（版本 2021 和 2017）
- CWE Top 25（版本 2022、2021 和 2020）
- OWASP ASVS（版本 4.0，支持 Level 1 到 Level 3）
- STIG
- CASA

SonarQube Advanced Security 正式发布（2025.3）

无需重新分析即可自动检测新的依赖风险（2025.4）

机器可读 SCA 报告（2025.4）。提供项目、应用程序和项目组合的依赖风险的机器可读报告，提供 JSON 和 CSV 格式。该报告包括项目、依赖项链、风险标题、CVE/CWE ID、严重性、发现日期、状态和修复信息等详细信息
SCA 的可定制风险严重性（2025.4）。允许自定义 SonarQube 中依赖风险的严重性级别，从而使您能够调整风险对特定软件质量的影响
SCA 风险评级（2025.4）为软件组合分析（SCA）引入 ABCDE 风险评级，特别是针对总体依赖风险、安全依赖风险（漏洞）和可维护性依赖风险（不允许的许可证）。

Secrets Detection (2025.4, 2025.3)

机密检测现在涵盖 400 多种不同的机密模式，由 346 条规则提供支持。此更新包括许多新添加的规则，目前处于测试阶段，旨在进一步增强您的安全覆盖范围。默认情况下，所有新规则都处于活动状态
在IDE中使用SonarLint，当您在开发代码时，不小心将一个看起来像机密的字符串写入或粘贴到代码中，将触发Sonar的60个机密规则支持的110个机密模式之一

Sonar的深度SAST现已覆盖2000多个公共Java库，显著提升了发现隐藏漏洞的能力。通过对Java安全分析引擎的更新，其在主要基准测试中的真阳性率达到了约90%。新增了200多条针对Spring框架的安全规则，达到完全覆盖级别。此外，还增加了40多条最佳实践规则，以避免Dockerfile中的安全配置错误，确保Docker部署的安全性。 （10.5）

污点分析能力: 能够识别跨文件的复杂安全漏洞，检测并分析执行路径的全部文件。

AI feature

AI代码溯源（AutoDetect AI Code）（2025.3）

AutoDetect AI Code通过"识别-评估-标记"三位一体流程，实现对AI生成代码的全生命周期风险管控

https://www.shcsinfo.com/eb-documentazione-tecnica/detecting-github-copilot-code-with-sonarqube

Sonar AI Code Assurance（AI代码保障）

允许开发人员标记包含AI生成代码的项目，以启动自动分析。在2025.1 LTA中，SonarQube Server可以自动检测GitHub项目中由GitHub Copilot创建的代码。SonarQube Server为包含AI生成代码的项目提供实时质量评估和通过/失败的标记，确保只有高质量的AI生成代码才能投入生产。