이 문서는 2025년 5월 29일 출시된 SonarQube Server 2025.3 릴리즈 노트의 주요 내용을 공유하기 위해 작성 되었습니다.
SonarQube Advanced Security 정식 출시(GA)
SonarQube Advanced Security가 Enterprise 에디션 이상에서 추가(add-on) 팩으로 정식 출시되어, 오픈 소스 코드에 대한 지원을 더해 핵심 보안 기능을 확장합니다. 주요 기능은 다음과 같습니다.
풀 리퀘스트 및 전체 코드에서 각 의존성 버전의 보안·라이선스 위험에 대한 가시성 강화
Quality Gate에 의존성 위험 점수를 포함하여, 고위험 의존성을 가진 코드가 운영에 반영되는 것을 차단
조직의 라이선스 컴플라이언스 정책을 정의·적용
프로젝트 개요 화면에 의존성 위험 건수 표시
여러 애플리케이션 및 포트폴리오에 걸친 의존성 위험 탐지·분석
SCA 결과 및 SBOM(소프트웨어 구성 명세서)에 대한 향상된 API 접근
Java, C#, Python, JavaScript, TypeScript, Go, Rust, Ruby 등 폭넓은 SCA 언어 커버리지
핵심 보안 강화
Kotlin에 대한 정적 애플리케이션 보안 테스트(SAST)를 추가했으며, taint 분석을 포함합니다.
Secrets 탐지를 지속적으로 확대하여 300개 이상의 패턴을 지원하며, 점(.)으로 시작하는 디렉터리나 숨김 파일 내의 secret 누출도 감지합니다.
AI 기능
AI CodeFix를 SonarQube for IntelliJ 및 VS Code에서 직접 사용하여 실시간 코드 수정 제안을 받을 수 있습니다. (Enterprise 이상)
Copilot 생성 코드에 대한 AI 코드 자동 감지가 더 이상 GitHub 프로젝트에만 국한되지 않습니다. (Enterprise 이상)
컴플라이언스 기능
MISRA:C++2023 규칙 커버리지를 추가 확대했습니다. (Early Access, Enterprise 이상)
최신 CWE Top 25(2024) 및 OWASP Mobile Top 10(2024) 표준에 맞춘 신규 보안 리포트를 제공합니다. (Enterprise 이상)
Quality Gate 관리자가 Clean as You Code를 준수하지 않는 기본(default) Quality Gate를 설정할 수 있습니다.
언어 지원
Rust 지원을 도입했습니다. (85개 규칙, LCOV/Cobertura 커버리지 가져오기, 인지 복잡도 및 순환 복잡도 메트릭, Clippy 출력 가져오기)
Java 22 및 23을 지원하며 관련 신규 규칙을 추가했습니다.
Apache Spark의 Python API인 PySpark를 지원하여 대규모 데이터 처리 워크플로우의 잠재적 문제를 식별합니다.
OWASP Mobile Top 10(2024)을 다루는 모바일 보안 규칙을 Kotlin, Java, Dart, XML에 추가했습니다.
자세한 내용은 SonarQube Server 릴리스 노트를 참고해 주세요.