이 문서는 2025년 9월 24일 출시된 SonarQube Server 2025.5 릴리즈 노트의 주요 내용을 공유하기 위해 작성 되었습니다.
SonarQube Server 2025.5를 사용하면 소프트웨어 공급망을 강화하고 더욱 정확한 결과를 얻을 수 있으며, 업데이트 중에 CI/CD 파이프라인 중단을 제거할 수 있습니다.
SonarQube Server 2025.5 릴리스에는 더욱 빠르고 안정적으로 고품질의 보안 코드를 제공할 수 있도록 설계된 새로운 기능과 주요 개선 사항이 포함되어 있습니다.
이번 릴리스는 보안 적용 범위를 새로운 영역으로 확장하고, 개발자 및 관리자 환경을 개선하며, 성능을 향상시키는 데 중점을 두고 있습니다.
목차
보안 및 공급망 방어 강화
GitHub Actions의 보안 오류 구성 및 취약점 감지
SonarQube는 CI/CD 파이프라인의 보안을 강화하는 데 직접적으로 도움을 주며, 흔히 공격 대상이 되는 GitHub Actions 워크플로우를 보호합니다.
이번 릴리스에서는 정적 애플리케이션 보안 테스트(SAST)가 GitHub Actions 워크플로우 내의 보안 설정 오류 및 취약성을 구체적으로 식별할 수 있도록 확장되었습니다.
SonarQube는 포크된 저장소에서 권한 있는 컨텍스트로 코드 체크아웃하는 문제, 부적절한 비밀(secret) 취급, 스크립트 인젝션, 커밋 참조 없이 외부 액션을 사용하는 문제 등 중요한 영역의 이슈를 찾아냅니다.
혜택
GitHub 사용자 및 개발자: 본질적으로 더 안전한 GitHub Actions를 작성해 공격 표면과 공급망 익스플로잇에 대한 취약성을 크게 줄일 수 있습니다.
보안 및 준수 팀: GitHub Actions에 대한 중요한 보안 구성 정책을 자동으로 시행해 모든 프로젝트에 일관된 보안 기준을 보장할 수 있습니다.
- 조직 전체: 소프트웨어 공급망의 전반적 보안 태세가 크게 향상되어 침해, 지적 재산 도난, CI/CD 파이프라인 손상에 따른 평판 손실 위험이 최소화됩니다.
적용 가능 에디션: Developer Edition | Enterprise Edition | Data Center Edition
JavaScript 및 TypeScript 보안 개선
이번 릴리스에서는 JavaScript 및 TypeScript의 기본 보안 엔진을 차세대 ‘taint analysis’ 엔진으로 전환합니다.
이 새로운 엔진은 taint 분석에서 정확성과 속도 면에서 큰 향상을 제공합니다.
즉, 모든 신규 및 기존 JS/TS 프로젝트가 무리 없이 최신 기능을 활용하게 되며, JS/TS taint 분석을 위한 구형 엔진은 폐기됩니다.
혜택
JS/TS 개발자: 보안 취약성에 대해 보다 정확하고 빠른 피드백을 워크플로우 상에서 직접 받을 수 있습니다.
보안 팀: 보다 견고하고 확장 가능한 taint 분석 엔진을 통해 보안 태세에 대해 높은 자신감을 가질 수 있습니다
엔지니어링 매니저 및 DevSecOps 팀: SonarQube(Developer Edition 이상) 및 SonarCloud 전반에서 모든 JS/TS 프로젝트에 대해 일관된 고품질 보안 분석을 보장할 수 있습니다.
적용 가능 에디션: Developer Edition | Enterprise Edition | Data Center Edition
.NET WPF 프론트엔드 애플리케이션 보안 강화
이번 릴리스부터 SonarQube Server는 공식적으로 Windows Presentation Foundation(WPF) 프레임워크를 지원합니다.
SonarQube는 UI 컨트롤(TextBox, PasswordBox), 데이터 바인딩, 커맨드 파라미터 같은 WPF 고유의 진입점으로부터 나오는 인젝션 취약성을 식별합니다.
혜택
개발자: WPF 애플리케이션을 보다 안전하게 구축할 수 있으며, 분석기가 이제 WPF 입력으로부터 데이터베이스 쿼리 또는 파일 작업 같은 민감한 싱크(sink)로의 사용자 입력 흐름을 추적해 일반적인 인젝션 공격을 예방할 수 있습니다.
기술 리더십: 애플리케이션 포트폴리오 전체의 보안 태세를 개선할 수 있으며, 데스크탑 애플리케이션을 보호하고 생산환경에 도달하기 전에 결함을 찾아내므로 조직 리스크를 낮추고 비용을 줄일 수 있습니다.
적용 가능 에디션: Developer Edition | Enterprise Edition | Data Center Edition
개발자 부담 감소 및 생산성 향상
업데이트 시 중단 없이 적용 및 변화에 대한 명확한 통찰
이제는 SonarQube Server 업데이트 후 예상치 못한 Quality Gate 실패에 작별을 고하세요.
이 획기적인 기능은 최신 버전으로 업데이트할 때 어떤 프로젝트에 어떤 변화가 발생할지 사전에 보여주며, 새로운 이슈가 곧바로 CI/CD 파이프라인을 중단하지 않도록 “샌드박스” 형태로 둘 수 있게 해줍니다.
이는 SonarQube Server 업데이트 시 발생하는 주요 고충을 해결합니다.
혜택
개발자 및 기술 리드: 새로운 이슈가 Quality Gate를 바로 통과하지 못하기 전에 정보를 받아 이해하고 우선 순위를 정해 편리한 시점에 수정을 진행할 수 있습니다. 따라서 더 이상 파이프라인이 예기치 않게 중단되는 일이 없습니다.
SonarQube Server 관리자: 이슈 변화와 프로젝트에 대한 예상 영향에 대해 명확히 이해하고, 업데이트를 개발팀에 효과적으로 알리며 지원 요청 및 운영 오버헤드를 줄일 수 있습니다.
조직 전체: CI/CD 파이프라인이나 개발 워크플로우를 중단시키지 않고 최신 SonarQube Server 버전을 원활히 채택할 수 있게 됩니다. 이는 개발자 생산성 향상, 신뢰도 향상, 전체 소프트웨어 품질 및 보안 향상으로 이어집니다.
적용 가능 에디션: Developer Edition | Enterprise Edition | Data Center Edition
AWS Lambda 서버리스 Python 함수에서 이슈 탐지
SonarQube Server는 이제 서버리스 애플리케이션을 구축하는 Python 개발자를 위해 AWS Lambda에 특화된 코드 품질 및 유지관리 규칙을 포함합니다. 이는 콜드 스타트 증가, 비효율적 패턴, 과도한 실행 시간, 의존성 관리 최적화와 같은 서버리스 함수 특유의 문제를 직접적으로 다룹니다. Lambda 함수는 높은 대기 시간(latency) 및 운영 비효율성에 크게 기여할 수 있습니다.
혜택:
Python 개발자: 일반적인 함정들을 피하고 더 효율적이고 신뢰할 수 있는 AWS Lambda 함수를 작성하여 빠른 실행, 낮은 애플리케이션 지연, 더 나은 확장성 및 더 쉬운 유지관리를 실현할 수 있습니다.
클라우드 아키텍트: 팀이 관리할 수 있는 유지보수 가능하고 확장 가능한 서버리스 애플리케이션을 보장하기 위해 코딩 모범 사례를 모든 서버리스 애플리케이션에 강제할 수 있습니다.
DevOps 및 SRE 팀: 서버리스 함수의 최적 성능 및 유지관리를 모니터링하고 보장할 수 있는 중요한 인사이트를 확보하여 비용이 많이 드는 문제를 예방할 수 있습니다.
비즈니스 측면: 과도한 메모리 사용 및 긴 실행 시간으로 인한 비용을 줄이고, 동시에 클라우드 네이티브 애플리케이션의 강건성을 높일 수 있습니다.
적용 가능 에디션: Developer Edition | Enterprise Edition | Data Center Edition
Python 분석 성능 향상
Python 프로젝트 분석 성능이 기본적으로 병렬 처리 가능하도록 크게 향상되었습니다. 보다 빠른 분석은 코드 상태에 대한 피드백을 더 빨리 제공하여 팀의 생산성을 높입니다.
Python 분석기는 Python 파일을 동시에 분석하기 위해 최대 90%의 사용 가능한 CPU 코어(최대 6개)를 활용하며, 분석 시간을 대폭 단축합니다.
sonar.python.analysis.threads 속성으로 병렬 작업 수를 사용자 지정할 수 있습니다. 또한 깊이 있는 분석이 필요할 경우 sonar.python.analysis.parallel 속성으로 병렬 처리를 비활성화할 수도 있습니다.
혜택:
개발자 및 DevSecOps: 더 빠른 피드백 루프를 통해 Python 코드 분석 결과를 이전보다 더 빨리 받을 수 있어 CI/CD 파이프라인이 가속화됩니다. 이 개선은 별도 구성 변경 없이 작동합니다.
기술 리더십: 팀 효율성을 극대화할 수 있습니다. 스캔 시간이 짧아짐으로써 개발자들이 피드백을 기다리는 시간이 줄어들고, 혁신적인 기능 개발에 더 많은 시간을 쓸 수 있습니다.
적용 가능 에디션: Developer Edition | Enterprise Edition | Data Center Edition
Angular 코드에서 더 많은 이슈 탐지
SonarQube는 이제 템플릿 외부의 Angular 코드에서 가장 흔하게 발견되는 문제들을 더 많이 탐지할 수 있습니다.
이를 통해 중요한 이슈를 조기에 발견하고 고품질 코드베이스를 유지하며 엔지니어링 조직 전체의 유지보수 부담을 줄일 수 있습니다.
혜택:
소프트웨어 개발자: 비표준 Angular 패턴(잘못된 라이프사이클 메서드 구현, 잘못된 컴포넌트 input/output 명명 등)을 즉시 찾아내고 최신 커뮤니티 권장 표준에 부합하는 고품질 Angular 코드를 작성할 수 있습니다.
DevSecOps, 엔지니어링 매니저 및 플랫폼 엔지니어링 팀: 외부 린터(linter)를 관리할 필요 없이 필수적인 Angular 분석을 통합해 툴체인 복잡성을 줄일 수 있습니다. 이는 더 유지보수가 용이하고 덜 취약한 분석 프로세스를 만듭니다.
조직 전체: 권장되는 고가치 규칙 세트를 모든 Angular 프로젝트에 쉽게 적용하여 복잡한 구성 없이 일관된 코드 품질 및 유지보수 기준을 보장할 수 있습니다.
적용 가능 에디션: Developer Edition | Enterprise Edition | Data Center Edition
기업용 준비된 준수 및 거버넌스
MISRA C++ : 2023 준수를 위해 더 많은 이슈 탐지
MISRA C++:2023는 안전-중요 산업, 특히 자동차 분야에서 사실상 표준으로 자리잡고 있습니다. 준수를 달성하고 주장하기 위해서는 표준에서 자동으로 시행 가능한 모든 규칙을 지원해야 합니다.
이번 릴리스는 MISRA C++:2023 코딩 지침에 대한 지원을 계속 확장하여 탐지 가능한 이슈의 유형을 증가시킵니다.
SonarQube는 준수가 필수인 산업 분야에서 코드 상태에 대한 조기 탐지 및 명확한 가시성을 제공합니다.
혜택:
안전-중요 산업의 C++ 개발자: 개발 주기 초기에 MISRA 관련 이슈를 자동으로 식별하고 해결하여 코드가 최고 수준의 안전성과 신뢰성 기준을 준수하도록 보장할 수 있습니다.
개발 리드 및 매니저: C++ 코드베이스가 MISRA C++:2023에 대해 어떤 준수 상태에 있는지 전에 없던 수준의 가시성을 확보하여 더 나은 의사결정 및 리스크 관리를 할 수 있습니다.
기업: 자동차, 의료기기 등 안전-중요 시스템의 산업에서 중요한 준수를 달성·유지함으로써 비용이 많이 드는 감사, 법적 책임 및 시장 출시 지연을 회피할 수 있습니다.
적용 가능 에디션: Enterprise Edition | Data Center Edition
소프트웨어 구성 분석(SCA) 롤아웃 제어
이제 대규모 조직이 우리의 소프트웨어 구성 분석(Software Composition Analysis, SCA) 기능을 보다 쉽게 채택할 수 있습니다.
관리자는 인스턴스 수준과 개별 프로젝트 수준에서 SCA를 활성화할 수 있게 되어, 준비된 팀만 선택적으로 참여하게 하여 더 전략적이고 통제된 롤아웃이 가능해졌습니다.
혜택:
DevSecOps 및 기술 리더십: 조직 전체에 SCA를 동시에 활성화하는 “깜짝” 상황을 피하면서 자체 속도로 온보딩할 수 있습니다.
파일 제외가 필요한 프로젝트를 위해 파이프라인을 수동으로 수정해야 하는 부담도 제거됩니다.
적용 가능 에디션: Developer Edition | Enterprise Edition | Data Center Edition
글로벌 발표 배너가 팀을 위한 유용한 리소스로
글로벌 공지(global announcement) 배너가 이제 하이퍼링크 및 마크다운 형식을 지원하도록 향상되었습니다.
이를 통해 관리자는 인스턴스 상단에 나타나는 공지 메시지에 내부 문서, 유지보수 일정, 회사-정책 페이지 등의 클릭 가능한 링크를 직접 삽입할 수 있습니다.
이로써 단순한 알림 수단이 아니라 실행 가능한 커뮤니케이션 도구로서의 역할을 수행하게 됩니다.
혜택:
DevSecOps 팀 및 기술 리더십: 조직 전체에 걸쳐 커뮤니케이션을 간소화하고 행동을 유도할 수 있습니다.
이제 사용자가 중요한 정보에 바로 접근할 수 있는 원클릭 경로가 제공되어 내부 정책의 채택을 향상시키고, 시스템 유지보수에 대한 인식을 높이며, 지원 오버헤드를 줄일 수 있습니다.- 개발자: 단순히 새로운 내부 정책이나 예정된 다운타임에 대한 알림을 읽는 대신, 바로 클릭해서 전체 컨텍스트를 확인할 수 있습니다. 이는 중요한 변화가 작업에 미치는 영향을 이해하고 대응하는 시간을 단축시켜 줍니다.
적용 가능 에디션: Developer Edition | Enterprise Edition | Data Center Edition