一文告诉您SonarQube的社区版，开发版，企业版以及数据中心版该怎样选

我们在谈论SonarQube时，大家第一反应是他是一款开源免费(社区版)的代码质量检测工具，其实不然！SonarQube跟据不同的需求，提供了四个版本的软件！如果是几个人的小型公司，那么使用免费版可能会满足需求。一旦您的公司涉及多项目或者百万级代码的检测，我们就必须选择企业版或者数据中心版了！本文会对SonarQube的社区版，开发版，企业版以及数据中心版的核心功能进行总结，便于大家对SonarQube进行选择应用。

各个版本下载地址如下：

https://www.sonarsource.com/products/sonarqube/downloads/

Community Edition

• 完全免费，建议用于10万行以下的代码，旨在改善代码质量
• 针对20种语言和框架的静态代码分析：Java、C#、JavaScript、TypeScript、CloudFormation、Terraform、Docker、Kubernetes、Helm Charts、科特林、Ruby、Go、Scala、Flex、Python、PHP、HTML、CSS、XML、VB.NET和Azure Resource Manager
• 检测AI生成代码中的问题
• SonarQube支持FIPS模式下运行
• 检测代码中的漏洞
• 查看安全热点（安全热点是指需要开发人员审查的安全敏感代码段）
• 跟踪和解决技术债务
• 监控代码质量指标和活动历史记录
• 敏感信息检查，防止敏感信息泄露
• 可以导入第三方工具生成的SARIF格式报告
• CI/CD与GitHub、GitLab、Bitbucket和Azure DevOps集成
• 可扩展，拥有50多个社区插件

Developer Edition

• 收费（160美元），建议用于10万行代码或以上，旨在满足小型团队企业的基本功能
• 支持社区版全部功能
• 其他语言：C、C++、Obj-C、Swift、ABAP、T-SQL和PL/SQL
• C和C++项目的AutoConfig
• 使用针对Java、C#、JavaScript和TypeScript的更深入SAST进行污点（Taint）分析

备注：污点分析是一种跟踪并分析污点信息在程序中流动的技术。在漏洞分析中，使用污点分析技术将所感兴趣的数据（通常来自程序的外部输入）标记为污点数据，然后通过跟踪和污点数据相关的信息的流向，可以知道它们是否会影响某些关键的程序操作，进而挖掘程序漏洞。

• 在Python Java中检测导致运行时错误和崩溃的高级错误
• 分析功能分支、维护分支和拉取请求
• 在GitHub、GitLab、Bitbucket和Azure DevOps的DevOps拉取请求中显示质量关口状态
• 从GitHub和GitLab自动配置用户和组
• 与GitHub自动同步
• 将多个项目收集在一起作为一个应用并提供一个统一的视图
• 提供标准商业支持

Enterprise Edition 企业版

• 收费（咨询销售，暂无具体报价），建议用于100万行或以上代码，旨在满足企业需求
• 支持开发版全部功能
• 其他语言：Apex、COBOL、JCL、PL/I、RPG和VB 6
• 与DevOps平台的无限集成
• 安全引擎自定义配置，用于更强大的污点分析
• 自定义规则来检测敏感信息
• 将项目和应用程序聚合到一个组合中
• 项目、应用程序和执行组合报告
• 提供共同安全标准的安全报告（包括PCI DSS、OWASP ASVS、OWASP Top 10、CWE Top 25）
• 提供监管和审计报告来记录发布的状态和质量
• 将项目整合到中心实例中
• 并行处理分析报告
• 用于monorepos（在版本控制系统的单个代码库里包含了许多项目的代码）的pull request和引导设置
• 提供testing 和 staging环境的许可证
• 使用Okta和Azure AD通过SCIM自动配置用户和组
• 标准商业支持
• 7*24高级支持

Data Center Edition

• 收费（咨询销售，暂无具体报价），建议用于2000万行或以上代码，旨在实现高可用性、可扩展性和高性能
• 支持企业版全部功能
• 在Kubernetes集群中自动缩放
• 部件冗余度
• 数据弹性
• 水平可伸缩性
• 极端负载下的高性能
• 标准商业支持
• 7*24高级支持

我的每一篇文章都希望帮助读者解决实际工作中遇到的问题！如果文章帮到了您，劳烦点赞、收藏、转发！您的鼓励是我不断更新文章最大的动力！