Freemium 🇪🇺 EU-Server

SonarQube

Sonar (SonarSource SA)

4/5

SonarQube ist der Marktstandard für statische Code-Analyse und Continuous Code Quality. Die Plattform erkennt Bugs, Security-Schwachstellen, Code Smells und Test-Coverage-Lücken in 30+ Programmiersprachen — wahlweise Self-hosted oder als Cloud-Service. Seit 2025 ergänzt AI Code Assurance die Prüfung von KI-generiertem Code.

Kosten: Community Build kostenlos (Self-hosted, unbegrenzt); SonarQube Cloud Team ab 32 USD/Monat (bis 100k LOC); Enterprise und Data Center ab 30M LOC auf Anfrage

Stärken

Unterstützt 30+ Sprachen — von Java und Python bis Kotlin, TypeScript und COBOL
Kostenlose Community-Edition für unbegrenzten Self-hosted-Einsatz ohne LOC-Limit
Nahtlose CI/CD-Integration (GitHub Actions, GitLab CI, Jenkins, Azure DevOps)
AI Code Assurance (2025): automatische Qualitätsprüfung für KI-generierten Code

Einschränkungen

Cloud-Version: Preise skalieren schnell bei größeren Codebasen (>100k LOC)
Enterprise-Features (SCA, SBOM, Advanced Security) nur in teuren Tarifen
Konfiguration und Rule-Tuning erfordert Entwicklererfahrung

Passt gut zu

Entwicklungsteams jeder Größe, die Code-Qualität systematisch messen und verbessern wollen Unternehmen, die Security-Findings (SAST) als Teil des Pull-Request-Prozesses integrieren Teams mit Self-hosted-Anforderungen (on-premises, DSGVO-konform)

So steigst du ein

Schritt 1: Starte mit der kostenlosen Community Edition: Lade SonarQube herunter, starte es lokal mit Docker und verbinde dein erstes Repository. Der initiale Scan zeigt dir sofort alle bekannten Bugs, Security-Hotspots und Code Smells — typischerweise mehrere Hundert Findings bei einer gewachsenen Codebasis.

Schritt 2: Integriere SonarQube in deine CI/CD-Pipeline (GitHub Actions, GitLab CI oder Jenkins). Aktiviere Quality Gates, sodass Pull Requests automatisch geblockt werden, wenn neue kritische Issues eingebracht werden.

Schritt 3: Konfiguriere ein Quality Profile für dein Team — aktiviere sprachspezifische Regeln, deaktiviere irrelevante, und lege fest, ab welchem Schweregrad ein Build fehlschlägt. Nutze den Tech-Debt-Messer, um systematisch die größten Probleme zuerst abzuarbeiten.

Ein konkretes Beispiel

Ein Hamburger Fintech-Unternehmen mit einer Java/Kotlin-Backend-Codebasis (ca. 200.000 LOC) führt SonarQube Community Edition auf einem eigenen Server ein, weil alle Kundendaten On-Premises bleiben müssen. Beim ersten Scan werden 47 kritische Security-Hotspots gefunden — drei davon sind SQL-Injection-Risiken, die sofort gepatcht werden. Nach vier Wochen zeigt das Quality-Gate-Dashboard eine Reduktion von 320 auf 89 offene Issues; neue Pull Requests dürfen keine kritischen Issues mehr einbringen.

Gut kombiniert mit

Snyk — SonarQube für statische Code-Analyse (SAST), Snyk für Open-Source-Dependency-Scanning (SCA): zusammen vollständige DevSecOps-Abdeckung
GitHub Copilot — KI-generierten Code direkt mit SonarQube AI Code Assurance auf Qualitäts- und Sicherheitsprobleme prüfen
Datadog — Code-Qualitäts-Trends aus SonarQube mit Laufzeit-Performance-Daten aus Datadog für ganzheitliches Engineering-Monitoring verbinden

Weitere Tools

GitGuardian

GitGuardian erkennt versehentlich im Code eingecheckte Secrets — API-Keys, Passwörter, Zertifikate — bevor sie ausgenutzt werden können. Mit Support für über 550 Secret-Typen und Scanning über gesamte Git-History ist es der Standard für Secrets-Security in DevSecOps-Teams.

Mehr erfahren

Snyk

Snyk Ltd.

Snyk ist eine KI-gestützte Developer-Security-Plattform, die Schwachstellen in Code, Open-Source-Abhängigkeiten, Container-Images und Infrastructure-as-Code direkt in der Entwicklungsumgebung und CI/CD-Pipeline erkennt. Sie gilt als De-facto-Standard für Teams, die Security früh in den Entwicklungsprozess integrieren wollen (Shift Left).