Pros y Contras de SonarQube Server (formerly SonarQube)

Lo que me encanta de SonarQube es cómo profundiza en mi código y encuentra problemas ocultos que no son tan obvios al escribir el código, especialmente errores y problemas de seguridad, en diferentes lenguajes de programación. Se integra sin problemas con mis pipelines de CI/CD, lo que significa que puedo vigilar la calidad del código en cada paso. Los informes que genera son muy detallados y realmente ayudan al equipo a ver dónde podemos mejorar. Además, puedes personalizar las reglas y usar un montón de plugins para que funcione justo como lo necesitas. Reseña recopilada por y alojada en G2.com.

Lo único que no me gusta es cuánto puede ralentizar las cosas cuando estás trabajando con proyectos grandes. Los escaneos pueden tardar un tiempo, lo que a veces interfiere con nuestro flujo de trabajo, y no podemos usar análisis paralelo ya que estamos en la licencia de Desarrollador, ya que la de Empresa es demasiado costosa para nosotros. Además, configurarlo y asegurarse de que todo esté bien configurado puede ser un poco dolor de cabeza y lleva algo de tiempo. Reseña recopilada por y alojada en G2.com.

Nuestro proceso de desarrollo es muy ayudado por SonarQube ya que detectará algunos errores como quedarse sin memoria, o errores simples que podríamos no ver la primera vez. Nuestro equipo está contento de usar el producto. Reseña recopilada por y alojada en G2.com.

Hacer que comience es un proceso largo. Estamos teniendo algunos problemas para entender cómo SonarQube juzga nuestro código. Como nuestro equipo lo está utilizando para el entorno embebido, algunas sugerencias (como implementaciones atómicas, etc.) no son realmente aplicables a nosotros. Al principio estábamos frustrados ya que siempre sugería que nuestro código estaba mal, pero ahora podemos encontrar una manera de silenciarlo. Reseña recopilada por y alojada en G2.com.

SonarQube tiene una excelente manera de examinar la calidad del código en su conjunto. Tiene la capacidad de descubrir errores, amenazas, así como prácticas desfavorables encontradas en diferentes lenguajes de programación para mantener normas de codificación superiores. Genera paneles de control e informes detallados que ofrecen vistas específicas que permiten desarrollar de manera incremental además de mantener el código limpio y ordenado a lo largo de su vida útil. Reseña recopilada por y alojada en G2.com.

El complicado proceso de configuración e instalación de SonarQube sigue siendo arduo y desalentador por ser un proceso que consume mucho tiempo para los principiantes. Además, uno puede sufrir una degradación del rendimiento causada por grandes bases de código, así como cuando descubren que algunas habilidades adicionales requieren pago antes de usarlas; por lo tanto, sería muy costoso, particularmente entre pequeños grupos o pequeñas empresas. Reseña recopilada por y alojada en G2.com.

Utilizo SonarQube principalmente para analizar lenguajes de programación C, C++ y Python, y por eso necesito una licencia de desarrollador de SonarQube. Los $160 que gasté por un año realmente valen la pena. Piensa en SonarQube como tu revisión por pares, amigo y supervisor para tu desarrollo de software.

Analizar C/C++ es realmente fácil y no está vinculado a un IDE. Simplemente alojo SonarQube en Docker, construyo mi software con build-wrapper y lo analizo con Sonar-scanner. Los resultados del análisis luego aparecen en el panel de SonarQube.

Utilizo SonarQube tanto en el trabajo como en casa para mi proyecto personal. Debido al precio asequible y la facilidad de uso, he sido leal a SonarQube durante 3 años.

Sonar también tiene un soporte al cliente receptivo, y principalmente los contacto para obtener una nueva licencia debido a un problema con mi imagen de Docker. La respuesta es consistentemente dentro de 1-2 días, y siempre me comunico por correo electrónico. No hay sitio web para informar ni formulario que llenar, lo cual para mí es conveniente. Reseña recopilada por y alojada en G2.com.

Desarrollo software embebido que se adhiere a MISRA C/C++, y SonarQube tiene algunas reglas MISRA, pero no todas están implementadas. Me encantaría ver que SonarQube pueda adoptar todas estas reglas.

Algunas veces he encontrado alternativas a SonarQube por esta razón, pero dado que otras herramientas son caras, están ligadas a un IDE y la curva de aprendizaje es desconocida (a diferencia de SonarQube, solo necesitamos 3 pasos para analizar el código), sigo volviendo a SonarQube. Reseña recopilada por y alojada en G2.com.

Identificación de problemas de codificación en bases de código completas, proporcionando una forma manejable de mejorar gradualmente la calidad del código con el tiempo al garantizar que el nuevo código sea de buena calidad. Los desarrolladores pueden ser guiados suavemente hacia mejores prácticas sin tener que resolver miles de malos olores de código de una sola vez. Podemos refactorizar el código mientras trabajamos en diferentes áreas sin introducir un nuevo riesgo de regresiones. Fácil de configurar y gestionar y bastante autónomo. Se integra bien con Azure DevOps y nuestros flujos de trabajo de solicitudes de extracción e integración continua. Reseña recopilada por y alojada en G2.com.

Recientemente ha habido algunos cambios en cómo Sonarqube gestiona las puertas de calidad y cuál es el estándar. Tenemos una serie de limitaciones en nuestro análisis, particularmente en la recopilación de información sobre la cobertura del código. Reseña recopilada por y alojada en G2.com.

Being able to filter issues and assign them to different team members allows each developer to focus on high-priority issues. SonarQube allows you to enable to disable specific rules, and to set the severity of each rule. This further help to prioritize the issues needing attention.

When a developer determines that a particular issue should NOT result in a code change, they can mark that issue as "won't fix" and enter an explanation. This helps provide detailed reports.

SonarQube also provides clear, high-level overviews of the status of your software projects (for managers), along with reports (for customers). This helps take much of the communication burden off of the development team. Reseña recopilada por y alojada en G2.com.

Like any static analysis tool, there are occasional false-positives. And depending on your code, there may be issues flagged as "problems" which are really just stylistic differences or deviations from best practices.

But it is fairly easy to mitigate these issues. False-positives need to be reviewed, but the detailed analysis provided by SonarQube (including traces through earlier statements showing how the issue was identified) help with the review. As for issues that are merely stylistic differences, these can be given a lower severity rating or even eliminated by customizing the underlying rules. Reseña recopilada por y alojada en G2.com.

- We are using a self hosted SonarQube server - hosting and upgrading our instance is a relatively painless process. The online documentation is clear and easy to follow

- The SonarQube scanner integrated easily into our existing Bitbucket and Cloud Build CI/CDs

- When comparing the findings with other SAST tooling, out-of-the-box SonarQube analysis had a low false positive rate, yet found extensive legitimate security/code quality issues

- Very happy with the speed of analysis, completes in only a few minutes on large repos (an order of magnitude faster than certain other SAST services)

- Surprised that language support is actually slightly better than documented - we were able to sucessfully analyze projects with older versions of .NET framework (4.5 and 4.0) than indicated in the documenation

- The triage and review process is easy for individual teams to execute on a regular basis

- The WEB API is well documented and enabled automating steps around user maintenance

- Bitbucket OAuth worked seamlesses to onboard users

- Installing additional plugins is also easy - we use Dependency-Check to add SCA to projects

- Bug fixes and features added to each new release are well documented, I appreciate being able to review all changes on the sonarsource atlassian page (and not just rely on the high-level marketing notes) Reseña recopilada por y alojada en G2.com.

- While SonarQube is a SAST tool, better support for SCA would be beneficial. The Dependency-Check plugn does not integrate well into the existing triage/remediation process.

- Other tooling does a better job of proving a high level overview of users and their productivity, ie. # of assigned open issues by engineer, # of fixed issues by engineer, etc. Reseña recopilada por y alojada en G2.com.

Despliegue simple. La instalación muy fácil se practica particularmente en Kubernetes utilizando formatos YAML. Además, la integración con GitHub mediante acciones de GitHub es fluida porque permite a los desarrolladores realizar sus escaneos, por lo tanto, recibir sus notificaciones una vez que los completan. Por otro lado, cuando se trata de flexibilidad, SonarQube es inigualable. Ofrece mucho cuando se quiere configurarlo, permitiéndote incluso prevenir la detección de vulnerabilidades hasta que las fusiones de solicitudes de extracción se detengan, por ejemplo, al mismo tiempo que proporciona una buena manera de observar los puntos de explotación detectados, como su ubicación exacta que se ha señalado sobre ellos. Reseña recopilada por y alojada en G2.com.

Esta herramienta es exclusivamente para Pruebas de Seguridad de Aplicaciones Estáticas, otras herramientas proporcionan la integración de Dinámico (DAST) y Estático (SAST). Reseña recopilada por y alojada en G2.com.

Forma rápida y fácil de ver problemas importantes con el código, duplicaciones, problemas de seguridad, etc. Fácil de configurar y mantener. El soporte ha sido muy rápido y útil cuando los he necesitado. Reseña recopilada por y alojada en G2.com.

Aunque admite una cantidad decente de lenguajes de programación, definitivamente no admite todos ellos. Específicamente, proyectos de Dart en Flutter que usamos para el desarrollo de aplicaciones móviles (aunque aparentemente hay planes para agregarlo en el futuro). Reseña recopilada por y alojada en G2.com.

Lo hemos implementado en toda nuestra organización, y ha sido increíble. La cobertura de código ha aumentado en todas partes, se están corrigiendo más errores, y hay más visibilidad de la deuda técnica del equipo. Reseña recopilada por y alojada en G2.com.

La única desventaja de las nuevas versiones es la falta de soporte para versiones antiguas de node. Nuestro monolito todavía está utilizando algunas versiones antiguas (¡en las que, por supuesto, necesitamos trabajar para actualizar!), impidiéndonos actualizar sonarqube. Reseña recopilada por y alojada en G2.com.