Unser Entwicklungsprozess wird stark von SonarQube unterstützt, da es einige Fehler wie Speicherüberlauf oder einfache Fehler, die wir beim ersten Mal möglicherweise nicht sehen, erkennen kann. Unser Team ist glücklich, das Produkt zu verwenden. Bewertung gesammelt von und auf G2.com gehostet.
Es ist ein langer Prozess, es zum Laufen zu bringen. Wir haben einige Schwierigkeiten, zu verstehen, wie SonarQube unseren Code bewertet. Da unser Team es für die eingebettete Umgebung verwendet, sind einige Vorschläge (wie atomare Implementierungen usw.) für uns nicht wirklich anwendbar. Zuerst waren wir frustriert, da es immer vorschlug, dass unser Code falsch ist, aber jetzt können wir einen Weg finden, es zum Schweigen zu bringen. Bewertung gesammelt von und auf G2.com gehostet.
89 von 90 Gesamtbewertungen für SonarQube Server (formerly SonarQube)
Gesamtbewertungsstimmung für SonarQube Server (formerly SonarQube)
Melden Sie sich an, um die Bewertungsstimmung zu sehen.
Was ich an SonarQube liebe, ist, wie es tief in meinen Code eindringt und versteckte Probleme findet, die beim Schreiben des Codes nicht so offensichtlich sind, insbesondere Bugs und Sicherheitsprobleme, über verschiedene Programmiersprachen hinweg. Es integriert sich nahtlos in meine CI/CD-Pipelines, was bedeutet, dass ich die Codequalität in jedem Schritt im Auge behalten kann. Die Berichte, die es generiert, sind super detailliert und helfen dem Team wirklich zu sehen, wo wir uns verbessern können. Außerdem kann man die Regeln anpassen und eine Vielzahl von Plugins verwenden, um es genau so zu gestalten, wie man es braucht. Bewertung gesammelt von und auf G2.com gehostet.
Das eine, was ich nicht mag, ist, wie sehr es die Dinge verlangsamen kann, wenn man an großen Projekten arbeitet. Die Scans können eine Weile dauern, was manchmal unseren Arbeitsablauf stört, und wir können keine parallele Analyse verwenden, da wir die Entwicklerlizenz haben, da die Enterprise-Lizenz für uns zu teuer ist. Außerdem kann die Einrichtung und richtige Konfiguration etwas Kopfschmerzen bereiten und dauert einige Zeit. Bewertung gesammelt von und auf G2.com gehostet.
SonarQube hat eine großartige Möglichkeit, die Codequalität als Ganzes zu untersuchen. Es hat die Fähigkeit, Fehler, Bedrohungen sowie ungünstige Praktiken in verschiedenen Programmiersprachen zu entdecken, um überlegene Codierungsstandards aufrechtzuerhalten. Es erzeugt detaillierte Dashboards und Berichte, die spezifische Ansichten bieten, die es ermöglichen, inkrementell zu entwickeln und den Code während seiner gesamten Lebensdauer sauber und ansprechend zu halten. Bewertung gesammelt von und auf G2.com gehostet.
Der komplizierte Einrichtungs- und Konfigurationsprozess von SonarQube bleibt mühsam und entmutigend, da er zeitaufwändig für Neulinge ist. Darüber hinaus kann man auch unter Leistungsverschlechterungen leiden, die durch große Codebasen verursacht werden, sowie wenn sie entdecken, dass einige zusätzliche Funktionen bezahlt werden müssen, bevor sie genutzt werden können; daher wäre es besonders kostspielig für kleine Gruppen oder kleine Unternehmen. Bewertung gesammelt von und auf G2.com gehostet.
Ich benutze SonarQube hauptsächlich zur Analyse von C-, C++- und Python-Programmiersprachen, und deshalb benötige ich eine SonarQube-Entwicklerlizenz. Die 160 $, die ich für ein Jahr ausgegeben habe, sind wirklich lohnenswert. Denken Sie an SonarQube als Ihren Peer-Review, Freund und Vorgesetzten für Ihre Softwareentwicklung.
Die Analyse von C/C++ ist wirklich einfach und nicht an eine IDE gebunden. Ich hoste SonarQube einfach in Docker, baue meine Software mit Build-Wrapper und analysiere sie mit Sonar-Scanner. Die Analyseergebnisse erscheinen dann im SonarQube-Dashboard.
Ich benutze SonarQube sowohl bei der Arbeit als auch zu Hause für mein persönliches Projekt. Aufgrund des erschwinglichen Preises und der Benutzerfreundlichkeit bin ich SonarQube seit 3 Jahren treu.
Sonar hat auch einen reaktionsschnellen Kundensupport, und ich kontaktiere sie hauptsächlich, um eine neue Lizenz zu erhalten, aufgrund eines Problems mit meinem Docker-Image. Die Antwort erfolgt konsistent innerhalb von 1-2 Tagen, und ich kommuniziere immer per E-Mail. Keine Website zum Melden oder Formular zum Ausfüllen, was für mich bequem ist. Bewertung gesammelt von und auf G2.com gehostet.
Ich entwickle eingebettete Software, die den MISRA C/C++-Richtlinien entspricht, und SonarQube hat einige MISRA-Regeln, aber nicht alle sind implementiert. Ich würde es wirklich lieben, wenn SonarQube in der Lage wäre, all diese Regeln zu übernehmen.
Einige Male habe ich aus diesem Grund Alternativen zu SonarQube gefunden, aber da andere Werkzeuge teuer sind, an eine IDE gebunden sind und die Lernkurve unbekannt ist (im Gegensatz zu SonarQube, bei dem wir nur 3 Schritte benötigen, um den Code zu analysieren), kehre ich immer wieder zu SonarQube zurück. Bewertung gesammelt von und auf G2.com gehostet.
Identifizierung von Codierungsproblemen in gesamten Codebasen, während eine handhabbare Möglichkeit geboten wird, die Codequalität im Laufe der Zeit schrittweise zu verbessern, indem sichergestellt wird, dass neuer Code von guter Qualität ist. Entwickler können sanft zu besseren Praktiken geführt werden, ohne Tausende von Code-Smells auf einmal lösen zu müssen. Wir können Code refaktorisieren, während wir in verschiedenen Bereichen arbeiten, ohne ein neues Risiko von Regressionen einzuführen. Einfach einzurichten und zu verwalten und ziemlich unkompliziert. Es integriert sich gut mit Azure DevOps und unseren Pull-Request- und CI-Workflows. Bewertung gesammelt von und auf G2.com gehostet.
Einige Änderungen kürzlich in der Art und Weise, wie Sonarqube Qualitätsziele verwaltet und was der Maßstab ist.
Wir haben eine Reihe von Einschränkungen in unserer Analyse, insbesondere bei der Erfassung von Informationen zur Codeabdeckung. Bewertung gesammelt von und auf G2.com gehostet.
Being able to filter issues and assign them to different team members allows each developer to focus on high-priority issues. SonarQube allows you to enable to disable specific rules, and to set the severity of each rule. This further help to prioritize the issues needing attention.
When a developer determines that a particular issue should NOT result in a code change, they can mark that issue as "won't fix" and enter an explanation. This helps provide detailed reports.
SonarQube also provides clear, high-level overviews of the status of your software projects (for managers), along with reports (for customers). This helps take much of the communication burden off of the development team. Bewertung gesammelt von und auf G2.com gehostet.
Like any static analysis tool, there are occasional false-positives. And depending on your code, there may be issues flagged as "problems" which are really just stylistic differences or deviations from best practices.
But it is fairly easy to mitigate these issues. False-positives need to be reviewed, but the detailed analysis provided by SonarQube (including traces through earlier statements showing how the issue was identified) help with the review. As for issues that are merely stylistic differences, these can be given a lower severity rating or even eliminated by customizing the underlying rules. Bewertung gesammelt von und auf G2.com gehostet.
- We are using a self hosted SonarQube server - hosting and upgrading our instance is a relatively painless process. The online documentation is clear and easy to follow
- The SonarQube scanner integrated easily into our existing Bitbucket and Cloud Build CI/CDs
- When comparing the findings with other SAST tooling, out-of-the-box SonarQube analysis had a low false positive rate, yet found extensive legitimate security/code quality issues
- Very happy with the speed of analysis, completes in only a few minutes on large repos (an order of magnitude faster than certain other SAST services)
- Surprised that language support is actually slightly better than documented - we were able to sucessfully analyze projects with older versions of .NET framework (4.5 and 4.0) than indicated in the documenation
- The triage and review process is easy for individual teams to execute on a regular basis
- The WEB API is well documented and enabled automating steps around user maintenance
- Bitbucket OAuth worked seamlesses to onboard users
- Installing additional plugins is also easy - we use Dependency-Check to add SCA to projects
- Bug fixes and features added to each new release are well documented, I appreciate being able to review all changes on the sonarsource atlassian page (and not just rely on the high-level marketing notes) Bewertung gesammelt von und auf G2.com gehostet.
- While SonarQube is a SAST tool, better support for SCA would be beneficial. The Dependency-Check plugn does not integrate well into the existing triage/remediation process.
- Other tooling does a better job of proving a high level overview of users and their productivity, ie. # of assigned open issues by engineer, # of fixed issues by engineer, etc. Bewertung gesammelt von und auf G2.com gehostet.
Einfache Bereitstellung. Sehr einfaches Installieren wird insbesondere auf Kubernetes unter Verwendung von YAML-Formaten praktiziert. Darüber hinaus ist die Integration mit GitHub mittels GitHub-Aktionen fließend, da sie es Entwicklern ermöglicht, ihre Scans durchzuführen und Benachrichtigungen zu erhalten, sobald sie diese abgeschlossen haben. Auf der anderen Seite, wenn es um Flexibilität geht, ist SonarQube unübertroffen. Es bietet so viel, wenn man es konfigurieren möchte, und ermöglicht es sogar, die Erkennung von Schwachstellen zu verhindern, bis Pull-Request-Zusammenführungen gestoppt werden, während es gleichzeitig eine gute Möglichkeit bietet, erkannte Ausnutzungspunkte zu betrachten - wie zum Beispiel deren genaue Position, die über sie angegeben wurde. Bewertung gesammelt von und auf G2.com gehostet.
Dieses Werkzeug ist ausschließlich für statische Anwendungssicherheitstests, andere Werkzeuge bieten die Integration von dynamischen (DAST) und statischen (SAST) Tests. Bewertung gesammelt von und auf G2.com gehostet.
Schneller, einfacher Weg, um große Probleme mit Code, Duplikationen, Sicherheitsprobleme usw. zu erkennen. Einfach einzurichten und zu warten. Der Support war sehr schnell und hilfreich, wenn ich ihn gebraucht habe. Bewertung gesammelt von und auf G2.com gehostet.
Während es eine anständige Anzahl von Programmiersprachen unterstützt, unterstützt es definitiv nicht alle. Insbesondere Dart-Projekte in Flutter, die wir für die Entwicklung von mobilen Apps verwenden (obwohl es anscheinend Pläne gibt, es in Zukunft hinzuzufügen). Bewertung gesammelt von und auf G2.com gehostet.
Wir haben es in unserer Organisation implementiert, und es war großartig. Die Code-Abdeckung ist überall gestiegen, mehr Fehler werden behoben, und es gibt mehr Transparenz in Bezug auf die technischen Schulden des Teams. Bewertung gesammelt von und auf G2.com gehostet.
Der einzige Nachteil der neuen Versionen ist der fehlende Support für ältere Node-Versionen. Unser Monolith verwendet immer noch einige alte Versionen, was uns daran hindert, Sonarqube zu aktualisieren. Bewertung gesammelt von und auf G2.com gehostet.
Ich mag, wie vollständig das Werkzeug ist, ich mag, dass ich viele Benutzer mit unterschiedlichen Berechtigungen haben kann. Bewertung gesammelt von und auf G2.com gehostet.
Ich mag die Komplexität der Integrationen nicht.
Ich mag nicht, dass es keine Fehlerdokumentation gibt.
Ich mag nicht, dass es keine Schulungskurse gibt.
Ich hätte gerne eine Zertifizierung. Bewertung gesammelt von und auf G2.com gehostet.
