ソナーキューブ

この記事にはプロモーションコンテンツが含まれています。宣伝的な言葉や不適切な外部リンクを削除し、中立的な観点から書かれた百科事典的なテキストを追加して、改善にご協力ください。 （2020年10月）（このメッセージを削除する方法とタイミングについて）

ソナーキューブ
SonarQubeプロジェクトのホームページ
開発者	ソナー
初回リリース	2006–2007年[1]
安定版リリース	SonarQube サーバー リリース 2025.1 / 2025年1月
リポジトリ	github.com/SonarSource/sonarqube
書かれた	ジャワ
オペレーティング·システム	クロスプラットフォーム
タイプ	静的コード分析
ライセンス	GNU劣等一般公衆利用許諾書
Webサイト	公式サイト

SonarQubeはSonarが開発したオープンソースプラットフォームで、ソフトウェア開発ワークフローに統合して継続的なコード品質とコードセキュリティを確保します。^[2]コード品質の継続的な検査を提供し、コードの静的分析による自動レビューを実行して、バグ、脆弱性、セキュリティホットスポット、コードスメルを35以上のプログラミング言語、フレームワーク、インフラストラクチャテクノロジーで検出します。6,500以上のルールがあり、セキュリティの業界をリードする汚染分析が含まれています。^{[3] [4]} SonarQubeは、重複コード、コーディング標準、単体テスト、コードカバレッジ、技術的負債、コードの複雑さ、コメント、バグ、ソフトウェア部品表（SBOM）、セキュリティ推奨事項に関するレポートを提供します。^{[5] [6]}

SonarQube製品（SonarQube Server、SonarQube Cloud、SonarQube for IDE）は、ファーストパーティ、生成AI、サードパーティのオープンソースコードなど、すべてのコードを解析し、安全で信頼性が高く保守しやすいソフトウェアの開発を支援します。^[2] GitHub、Bitbucket、Azure、GitLabなどのDevOpプラットフォームと統合します。^[7] SonarQubeの商用製品は、 Java （Androidを含む）、C#、C、C++、JavaScript、TypeScript、Python、Go、Swift、COBOL、Apex、PHP、Kotlin、Ruby、Scala、HTML、CSS、ABAP、Flex、Objective-C、PL/I、PL/SQL、RPG、T-SQL、VB.NET、VB6、XMLなどのプログラミング言語をサポートしています。^[8]

SonarQubeは、開発チーム向けのオープンソースベースのセルフホスト型コード品質およびセキュリティソリューションであり、開発環境に統合されます。^[9]このソリューションは、開発者が開発プロセスの開始時にコーディングエラーを修正・回避し、ソースコードをターゲットにすることで、潜在的な問題の発生を未然に防ぎます。SonarQube Serverは、自動的かつ効率的なリアルタイムコード分析により、開発者がAIを活用しながらリスクを最小限に抑えることを可能にします。また、問題が検出されると、フラグと説明が表示されます。^[10]

SonarQube Cloudは、人間が開発したコードとAIが支援したコードの両方の品質とセキュリティを強化する、フルマネージドSaaSソリューションです。 ^[11]クラウドDevOpsプラットフォームに統合し、CI/CDワークフローを拡張することで、コードレベルの問題を特定して修正し、最終的にはビジネスリスクと技術的負債を解消しながら生産性を向上させます。^{[12] [13]}

SonarQubeはIDEプラグインを使用することで拡張可能です。SonarQube for IDEを通じて、Eclipse、Visual Studio、Visual Studio Code、Cursor、Windsurf、IntelliJ IDEAなどの開発環境と統合できます。^[14]高度なリンティングとコード分析のための統合開発環境拡張機能であるSonarQube for IDEは、組織が問題をリアルタイムで発見し、解決できるようにします。また、問題の原因と解決されない場合の潜在的な影響についても把握できます。^{[15] [16]}

SonarQube Advanced Securityは、SonarQube Enterpriseプランに追加で利用可能なライセンスで、コードセキュリティ機能を拡張し、サードパーティのオープンソースコードをサポートします。依存関係とサプライチェーンのセキュリティを確保するための高度なSASTおよびSCA機能も備えています。^[17]

SonarQube Advanced Securityに含まれるAdvanced SASTは、ファーストパーティコードとサードパーティのオープンソース依存関係の相互作用によって生じる隠れた脆弱性の検出能力を向上させます。^[18] Java、C#、JavaScript / TypeScriptに加え、その他のオープンソースライブラリとその依存関係もサポートしています。 ^{[19] [3]}

SonarQube Advanced Security製品で利用可能なSCAは、サードパーティの依存関係における既知の脆弱性（CVE）の追跡、管理、緩和を効率化するだけでなく、組織がオープンソースのライセンスポリシーを管理できるようにします。^{[18] [20]}また、組織のソフトウェアライセンスポリシーへの準拠を確保するとともに、コード構成の理解を深める詳細なソフトウェア部品表（SBOM）を生成します。^[18]

AIコードアシュアランスは、生成AIコパイロットによって生成されたコードを検査し、ビジネスの品質およびセキュリティ基準を満たしていることを確認します。^{[21] [22]} AIコードアシュアランスは、AIによって生成されたコードに最適化された品質ゲートを使用し、厳格な品質およびセキュリティ基準を満たすコードのみが本番環境で承認されるようにします。これらの基準は、さまざまな組織の要件に合わせて設定可能です。品質ゲートを通過したプロジェクトには、コードが許容可能であることを示すバッジが付与されます。^[21]

GitHub Copilotを使用するGitHubプロジェクト内のAI生成コードの場合、SonarQube ServerはAI生成コードの存在を自動的に検出し、ユーザーはAIコードアシュアランスワークフローを通じてそのコードを実行することができます。^[22]

AI CodeFixは、コード品質とコードセキュリティを向上させるための提案を自動的に生成します。開発者は、SonarQube for IDE内、またはSonarQube CloudおよびServer内で、SonarQubeによって検出された問題を修正できます。^[21]

SonarQubeの秘密検出機能は、コードリポジトリ内の秘密の発見と、統合開発環境（IDE）を使用したコード開発の両方に適用できるように設計されており、企業はコード内の秘密が大きな脅威になる前に検出することができます。^[23] SonarQube for IDEを使用すると、この機能はIDE内の秘密も検出できるため、SCMへの影響を防ぎ、修復コストを削減できます。^[18]たとえば、パスワード、アプリケーションプログラミングインターフェース（API）キー、暗号化キー、トークン、データベース資格情報、その他の個人情報を識別できます。^[23]

• 静的コード解析ツール一覧

• 公式サイト