이 문서는 2023년 4월 3일 출시된 SonarQube 10.0 릴리즈 노트를 공유하기 위해 작성 되었다.
https://www.sonarsource.com/products/sonarqube/whats-new/
빠른 첫번째 분석
SonarQube 9.9 LTS에서는, 깃(Git) 기반 프로젝트의 첫 번째 전체 분석 속도를 대폭 개선했습니다.
저장소의 모든 프로젝트 파일에 대해 git-blame 데이터를 수집하고 처리하는 방식을 최적화하여, 첫 번째 프로젝트 분석 속도를 크게 높였습니다.
SonarQube 9.9 LTS에서는 Git 기반 프로젝트의 첫 번째 분석 속도를 높이기 위해 큰 발전을 이루었습니다(평균 60-90% 더 빠름).
특히, 첫 번째 분석이 상대적으로 느린 프로젝트의 경우 좀더 효과적이었습니다. 큰 규모의 커밋이 포함된 프로젝트의 경우, 매우 큰 개선 효과를 기대할 수 있습니다.
선정된 두 개의 벤치마크 프로젝트의 경우 상당한 속도 향상을 볼 수 있었습니다.
TypeScript 컴파일러(생성 이후 약 34,000개의 커밋)의 첫 번째 전체 분석은 이전 버전(LTS를 포함한)에서 20시간 이상 소요되었지만, 개선된 버전에서는 약 5분 만에 완료되었습니다.
마찬가지로, 인기 있는 머신러닝 프레임워크인 TensorFlow의 첫 번째 분석 시간도 이전 버전에서 약 46분이 걸렸지만, 개선된 버전에서는 5분 이내로 단축되었습니다.
사용자 관리 개선; 새로운 CWE 보안 위험 보고서
이전에 출시된 SAML/Okta에서의 지원을 확장하여 사용자 프로비저닝 및 디프로비저닝을 SAML/Azure AD에 대해 지원합니다.
관리자들은 더 이상 SonarQube에서 사용자와 그룹을 수동으로 관리할 필요가 없습니다.
SCIM 통합은 자동으로 Azure AD의 사용자 액세스를 동기화하여 사용자 레코드를 사전에 프로비저닝하거나 사용자가 조직을 떠날 때 사용자 토큰을 무효화하여 비활성화 합니다.
이는 사용자 액세스가 ID 공급자(IDP)에서 적용되는 것을 항상 반영하여 권한 없는 사용자의 보안 액세스가 더욱 강화됩니다.
이 기능을 기반으로 Okta 및 Azure AD의 경우 그룹 프로비저닝이 더 간단합니다.
관리자는 사용자 및 그룹 관리를 IdP에 완전히 위임하여 모든 애플리케이션에 대해 안전하고 중앙 집중식으로 프로비저닝할 수 있습니다.
또한 2022년 CWE Top 25 보안 위협 보고서를 추가하여 코드베이스의 보안 취약점 위험성을 평가할 수 있도록 지원하였습니다.
이 보고서는 SonarQube 프로젝트에서 → Security Reports → CWE Top 25로 이동하면 2022년, 2021년, 2020년 CWE 보고서를 찾을 수 있습니다.
컨테이너형 앱 배포를 위한 보안 도커파일
도커파일은 소스 코드와 마찬가지로 많은 보안 문제의 시작점이 될 수 있습니다.
도커파일에서 보안 구성 오류를 제거하는 데 도움이 되도록 안전한 배포를 위해 bash 명령 구문 분석 지원 및 20개 이상의 모범 사례 규칙을 추가하였습니다.
몇 가지 예로 'sudo' 명령어 사용 여부를 확인하는 규칙, 기본 이미지 버전이 고정된지 여부를 확인하는 규칙, COPY/ADD에서 'chmod' 옵션에 대한 안전한 권한 설정을 확인하는 규칙 등이 있니다.
지원되는 모든 도커 규칙을 확인하세요.
언어 업데이트
C++
- clang-cl 및 Microchip 컴파일러 지원
C#, VB.NET
- 더 깨끗한 .NET 애플리케이션을 만들기 위해 12개의 새로운 모범 사례 규칙을 추가했습니다.
예를 들면, 디버깅 문제를 방지하기 위해 'DebuggerDisplayAttribute'가 이미 존재하는 멤버를 참조하는지 확인하는 검사,
C# 블록이 비어 있는지 확인하는 새로운 규칙, 클래스의 'private' 메서드가 올바르게 선언되었는지 확인하는 규칙, 잘못된 수학적 비교 등이 있습니다.
JS
- 새로운 8개의 규칙 및 개선된 14개의 규칙으로 JavaScript 과 관련된 고급지원