이 문서는 2025년 7월 31일 출시된 SonarQube Server 2025.4 LTA 릴리즈 노트의 주요 내용을 공유하기 위해 작성 되었습니다.



장기 활성(LTA) 버전 안내

2025.4 릴리스는 출시일로부터 18개월 동안 공식적으로 활성(active) 상태로 유지됩니다. Sonar는 이 활성 기간 동안 2025.4 버전에 대한 확장 상용 지원(extended commercial support)을 제공합니다.


언어 분석 강화

  • MISRA C++ 2023 규칙 커버리지를 25개 이상 추가 확대(MISRA Compliance Early Access, Enterprise 에디션 이상)하여 안전 필수(safety-critical) 시스템에 대한 검사를 강화했습니다.

  • C 및 C++ 분석 속도를 향상시켰습니다. 변경의 논리적 영향이 제한적인 경우, 널리 포함되는 헤더 파일이나 대형 컴파일 단위에 영향을 주더라도 더 빠르게 분석합니다.

  • Python 코루틴(coroutine) 규칙을 추가하여 asyncio, aiohttp 등 비동기 프로그래밍에서 흔히 발생하는 실수를 방지합니다.

  • Python 컴프리헨션(comprehension) 규칙을 추가하여 성능·가독성 및 비관용적(non-idiomatic) 사용 문제를 식별합니다.

  • Python 이슈 억제(Issue Suppression)를 개선하여 규칙 키와 함께 #NOSONAR를 사용할 수 있으며, #NOSONAR#noqa 주석 사용을 추적할 수 있습니다.

  • Dart 3.8을 지원합니다.

  • Java 23 전용 규칙을 추가하고, Java 24 소스 파일을 오류 없이 파싱하도록 지원합니다.

  • Java 성능 저하를 유발하는 코드를 식별하고 자동 quick-fix를 제공합니다. 또한 일부 고급 Java 규칙(S2259, S3518)에 기존 기호 실행(Symbolic Execution) 엔진을 대체하는 고급 데이터플로우 버그 탐지(DBD) 엔진을 적용했습니다.


보안(SAST) 강화

  • Secrets 탐지가 400개 이상의 secret 패턴(346개 규칙)으로 확대되었으며, 89개의 신규 규칙(BETA)이 기본 활성화되었습니다.

  • JavaScript/TypeScript용 차세대 taint 분석 엔진을 도입하여 더 정확하고 실행 가능한 보안 결과를 제공합니다. (관리 > 구성 > 일반 설정 > SAST Engine 에서 활성화)

  • Go 언어에 대한 taint 분석을 제공하여 함수·파일 간 데이터 흐름을 추적해 인젝션 취약점 등을 탐지합니다.

  • VB.NET 언어에 대해 taint 분석을 포함한 완전한 정적 애플리케이션 보안 테스트(SAST) 기능을 제공합니다.


SonarQube Advanced Security (SCA)

  • 재분석 없이 영구 브랜치(메인 브랜치 포함)에서 새롭게 발견된 의존성 취약점을 자동으로 감지합니다.

  • Packagist 및 Composer를 사용하는 PHP 프로젝트에 대한 소프트웨어 구성 분석(SCA)을 도입했습니다.

  • 의존성 위험에 대한 머신리더블(machine-readable) 리포트를 JSON 및 CSV 형식으로 제공합니다.

  • SCA 의존성 위험의 심각도(severity)를 커스터마이즈할 수 있습니다.

  • SCA에 대한 ABCDE 위험 등급(전체/보안/유지보수성 의존성 위험)을 도입하여 프로젝트·애플리케이션 개요 화면에 표시합니다.

※ SonarQube Advanced Security 기능은 Enterprise 에디션 이상에서 라이선스를 통해 제공됩니다.


리포팅 개선

  • 프로젝트 수준 보안 리포트 PDF를 OWASP Top 10, CWE Top 25, STIG, CASA 등 특정 보안 표준에 맞춰 커스터마이즈하고 다운로드할 수 있습니다. (Enterprise 이상)

  • 규제(Regulatory) 리포트가 개선되어 프로젝트 개요 페이지에서 다운로드할 수 있고, 이슈 분포(Distribution of issues) 정보가 추가되었습니다.


AI 기능

  • 신규 환경변수 SONAR_ENFORCEAZUREOPENAIDOMAINVALIDATION가 추가되어, 구성된 Azure OpenAI 엔드포인트가 반드시 .openai.azure.com으로 끝나도록 강제하여 보안과 신뢰성을 강화합니다.


플랫폼 및 라이선스 관리

  • Data Center Edition이 Istio가 사전 설치된 Kubernetes 클러스터에 설치를 지원하여 노드 간 통신을 관찰·관리할 수 있습니다.

  • 새로운 온라인 라이선스 관리를 통해 라이선스를 온라인으로 요청·제거·스테이징·갱신·활성화할 수 있습니다. 인터넷에 연결되지 않은 경우 오프라인 활성화도 가능합니다.


SonarQube for IDE

  • MISRA C++2023 Early Access 규칙을 VSCode, Visual Studio, IntelliJ/CLion에서 직접 사용할 수 있습니다.

  • 소프트웨어 구성 분석(SCA) 결과를 Visual Studio, IntelliJ, VSCode IDE에서 확인할 수 있습니다. (Enterprise 이상)



자세한 내용은 SonarQube Server 릴리스 노트를 참고해 주세요.


  • 레이블 없음