Avaliações e Detalhes do Produto de SonarQube Server (formerly SonarQube)

O que eu amo no SonarQube é como ele se aprofunda no meu código e encontra problemas ocultos que não são tão óbvios ao escrever o código, especialmente bugs e problemas de segurança, em diferentes linguagens de programação. Ele se integra perfeitamente com meus pipelines de CI/CD, o que significa que posso monitorar a qualidade do código em cada etapa. Os relatórios que ele gera são super detalhados e realmente ajudam a equipe a ver onde podemos melhorar. Além disso, você pode personalizar as regras e usar uma tonelada de plugins para fazê-lo funcionar exatamente como você precisa. Análise coletada por e hospedada no G2.com.

A única coisa que não gosto é o quanto isso pode desacelerar as coisas quando estamos trabalhando com grandes projetos. As verificações podem demorar um pouco, o que às vezes atrapalha nosso fluxo de trabalho, e não podemos usar análise paralela, pois estamos na licença de Desenvolvedor, já que a Enterprise é muito cara para nós. Além disso, configurá-lo e acertar todas as configurações pode ser um pouco complicado e leva algum tempo. Análise coletada por e hospedada no G2.com.

Nosso processo de desenvolvimento é muito ajudado pelo SonarQube, pois ele detecta alguns bugs, como falta de memória, ou erros simples que talvez não vejamos na primeira vez. Nossa equipe está feliz em usar o produto. Análise coletada por e hospedada no G2.com.

Conseguir que ele comece é um processo longo. Estamos tendo alguns problemas para entender como o SonarQube julga nosso código. Como nossa equipe está usando-o para o ambiente embarcado, algumas sugestões (como implementações atômicas etc.) não são realmente aplicáveis a nós. No início, ficamos frustrados, pois ele sempre sugeria que nosso código estava errado, mas agora conseguimos encontrar uma maneira de silenciá-lo. Análise coletada por e hospedada no G2.com.

SonarQube tem uma ótima maneira de examinar a qualidade do código como um todo. Ele tem a capacidade de descobrir erros, ameaças, bem como práticas desfavoráveis encontradas em diferentes linguagens de programação para manter normas de codificação superiores. Ele gera painéis e relatórios detalhados que fornecem visões específicas, permitindo o desenvolvimento incremental, além de manter o código limpo e elegante ao longo de sua vida útil. Análise coletada por e hospedada no G2.com.

O processo complicado de configuração e instalação do SonarQube continua a ser um desafio e desencorajador por ser demorado para iniciantes. Além disso, pode-se sofrer com a degradação de desempenho causada por grandes bases de código, bem como ao descobrir que algumas habilidades extras exigem pagamento antes de serem usadas; portanto, seria muito caro, especialmente entre pequenos grupos ou pequenas empresas. Análise coletada por e hospedada no G2.com.

Eu uso o SonarQube principalmente para analisar linguagens de programação C, C++ e Python, e é por isso que preciso de uma licença de desenvolvedor do SonarQube. Os $160 que gastei por um ano realmente valem a pena. Pense no SonarQube como sua revisão por pares, amigo e supervisor para o desenvolvimento de software.

Analisar C/C++ é realmente fácil e não está vinculado a um IDE. Eu simplesmente hospedo o SonarQube no Docker, construo meu software com build-wrapper e analiso com o Sonar-scanner. Os resultados da análise aparecem então no painel do SonarQube.

Eu uso o SonarQube tanto no trabalho quanto em casa para meu projeto pessoal. Devido ao preço acessível e à facilidade de uso, tenho sido fiel ao SonarQube há 3 anos.

O Sonar também tem um suporte ao cliente responsivo, e eu principalmente os contatei para obter uma nova licença devido a um problema com minha imagem Docker. A resposta é consistente dentro de 1-2 dias, e sempre me comunico via e-mail. Nenhum site para relatar ou formulário para preencher, o que para mim é conveniente. Análise coletada por e hospedada no G2.com.

Eu desenvolvo software embarcado que adere ao MISRA C/C++, e o SonarQube tem algumas regras MISRA, mas nem todas estão implementadas. Eu realmente adoraria ver o SonarQube ser capaz de adotar todas essas regras.

Algumas vezes encontrei alternativas ao SonarQube por esse motivo, mas como outras ferramentas são caras, vinculadas a um IDE e a curva de aprendizado é desconhecida (ao contrário do SonarQube, só precisamos de 3 passos para analisar o código), continuo voltando ao SonarQube. Análise coletada por e hospedada no G2.com.

Being able to filter issues and assign them to different team members allows each developer to focus on high-priority issues. SonarQube allows you to enable to disable specific rules, and to set the severity of each rule. This further help to prioritize the issues needing attention.

When a developer determines that a particular issue should NOT result in a code change, they can mark that issue as "won't fix" and enter an explanation. This helps provide detailed reports.

SonarQube also provides clear, high-level overviews of the status of your software projects (for managers), along with reports (for customers). This helps take much of the communication burden off of the development team. Análise coletada por e hospedada no G2.com.

Like any static analysis tool, there are occasional false-positives. And depending on your code, there may be issues flagged as "problems" which are really just stylistic differences or deviations from best practices.

But it is fairly easy to mitigate these issues. False-positives need to be reviewed, but the detailed analysis provided by SonarQube (including traces through earlier statements showing how the issue was identified) help with the review. As for issues that are merely stylistic differences, these can be given a lower severity rating or even eliminated by customizing the underlying rules. Análise coletada por e hospedada no G2.com.

- We are using a self hosted SonarQube server - hosting and upgrading our instance is a relatively painless process. The online documentation is clear and easy to follow

- The SonarQube scanner integrated easily into our existing Bitbucket and Cloud Build CI/CDs

- When comparing the findings with other SAST tooling, out-of-the-box SonarQube analysis had a low false positive rate, yet found extensive legitimate security/code quality issues

- Very happy with the speed of analysis, completes in only a few minutes on large repos (an order of magnitude faster than certain other SAST services)

- Surprised that language support is actually slightly better than documented - we were able to sucessfully analyze projects with older versions of .NET framework (4.5 and 4.0) than indicated in the documenation

- The triage and review process is easy for individual teams to execute on a regular basis

- The WEB API is well documented and enabled automating steps around user maintenance

- Bitbucket OAuth worked seamlesses to onboard users

- Installing additional plugins is also easy - we use Dependency-Check to add SCA to projects

- Bug fixes and features added to each new release are well documented, I appreciate being able to review all changes on the sonarsource atlassian page (and not just rely on the high-level marketing notes) Análise coletada por e hospedada no G2.com.

- While SonarQube is a SAST tool, better support for SCA would be beneficial. The Dependency-Check plugn does not integrate well into the existing triage/remediation process.

- Other tooling does a better job of proving a high level overview of users and their productivity, ie. # of assigned open issues by engineer, # of fixed issues by engineer, etc. Análise coletada por e hospedada no G2.com.

Implantação simples. A instalação muito fácil é praticada particularmente no Kubernetes usando formatos YAML. Além disso, a integração com o GitHub por meio das ações do GitHub é fluente porque permite que os desenvolvedores realizem suas verificações, recebendo assim suas notificações uma vez que as concluam. Por outro lado, quando se trata de flexibilidade, o SonarQube é incomparável. Ele oferece muito quando você deseja configurá-lo, permitindo até mesmo prevenir a detecção de vulnerabilidades até que as fusões de pull requests sejam interrompidas, por exemplo, ao mesmo tempo que fornece uma boa maneira de visualizar os pontos de exploração detectados - como sua localização exata que foi apontada sobre eles. Análise coletada por e hospedada no G2.com.

Esta ferramenta é exclusivamente para Teste de Segurança de Aplicações Estáticas, outras ferramentas fornecem a integração de Dinâmico (DAST) e Estático (SAST). Análise coletada por e hospedada no G2.com.

Rápida, maneira fácil de ver grandes problemas com código, duplicações, questões de segurança, etc. Fácil de configurar e manter. O suporte tem sido muito rápido e útil quando precisei deles. Análise coletada por e hospedada no G2.com.

Embora suporte uma quantidade razoável de linguagens de programação, definitivamente não suporta todas elas. Especificamente projetos em Dart no Flutter que usamos para desenvolvimento de aplicativos móveis (embora aparentemente haja planos para adicioná-lo no futuro). Análise coletada por e hospedada no G2.com.

Nós implementamos isso em toda a nossa organização, e tem sido incrível. A cobertura de código aumentou em todos os lugares, mais bugs estão sendo corrigidos, e há mais visibilidade sobre a dívida técnica da equipe. Análise coletada por e hospedada no G2.com.

A única desvantagem das novas versões é a falta de suporte para versões mais antigas do node. Nosso monólito ainda está usando algumas versões antigas (que, é claro, precisamos trabalhar na atualização!), impedindo-nos de atualizar o sonarqube. Análise coletada por e hospedada no G2.com.

Gosto de como a ferramenta é completa, gosto de poder ter muitos usuários com permissões diferentes. Análise coletada por e hospedada no G2.com.

Eu não gosto da complexidade das integrações

Eu não gosto que não haja documentação de erros

Eu não gosto que não haja cursos de treinamento.

Eu gostaria de uma certificação Análise coletada por e hospedada no G2.com.