SonarCloud FAQ

עדכון אחרון: ינואר 2024

לאור שאלות רבות שאנו נשאלים על SonarCloud וההבדלים בינו ל- SonarQube ,
החלטנו לרכז שאלות/תשובות (FAQ) בנושא.

מה זה SonarCloud ?

זהו מוצר סריקת קוד סטטי (Static Code Analysis) המצביע על בעיות באיכות הקוד (Code Quality) ואבטחת קוד (Code Security).
המוצר מזהה באגים , חולשות אבטחת מידע (vulnerabilities) , code smells וקוד שיהיה קשה לתחזק בעתיד — ובכך עוזר לכתוב קוד נקי (Clean Code).

ניתן לחבר את SonarCloud לכלי ניהול קוד בענן: GitLab, GitHub, Azure DevOps, Bitbucket .

זהו למעשה המוצר המקביל ל- SonarQube המוכר והפופולרי – שניתן לשימוש רק בענן (כשירות מנוהל).

המוצר מוצע רק כשירות SaaS בענן (אם תרצו להתקין אותו אצלכם כדי להמנע מלחשוף את הקוד שלכם בענן אזי יש להשתמש ב- SonarQube).

מה ההבדלים בינו לבין SonarQube ?

ישנם הבדלים רבים, ונציין כאן את הנקודות העיקריות
(רשימה השוואתית מפורטת ניתן לקבל בפניה אלינו במייל – הפרטים בהמשך):

1. SonarCloud ניתן לשימוש רק בענן (המוצר רץ מעל AWS ולא ניתן לבחור עננים או לשנות לריצה ב- regions אחרים).
2. המוצר לא מאפשר לסרוק on-premises repositories (אלא רק כאלה הנמצאים בעננים ציבוריים כגון github.com / gitlab.com)
3. כאמור המוצר מגיע כשירות SaaS בלבד (עם ההשלכות הנלוות למוצרי SaaS – בנושאי שליטה על המערכת ו- governance ; אבטחת מידע; ביצועים ופרטיות המידע)
4. לא ניתן לחבר 3rd-party plugins ל- SonarCloud (הדבר אפשרי עם SonarQube).
5. המוצר אינו מציע את כל יכולות ה- security הקיימות ב- SonarQube Enterprise – בפרט:
   — דו"חות Security
   — דוחות סטטוס פיתוח / תקלות עדכני ביחס לסטנדרטים הידועים של OWASP ו- CWE
   — דו"חות למנהלים
   — דו"חות Portfolio Management (שמציגות דו"חות מאוחדים לפי חתך משותף כגון שפת תכנות משותפת; release משותף ; פרוייקטים הקשורים ללקוח משותף וכד')
6. המוצר אינו סורק חלק משפות הקוד שכן ניתנות לסריקה ע"י SonarQube . כיום המוצר סורק 20 שפות (ב- SonarQube יש כיום תמיכה ב- 29 שפות).
7. ב- SonarQube קיימת אפשרות לקבל רישוי נוסף (לשרת נוסף) ללא תוספת מחיר – שימושי מאוד אם רוצים להחזיק סביבה בצד לצרכי בדיקות, staging וכד'.
8. ב- SonarCloud קיימות פחות אפשרויות לקנפג ולקסטם את המערכת לצרכים המדוייקים שלכם (ב- SonarQube יש אפשרויות קיסטום רבות יותר).

כאמור, רשימה השוואתית מפורטת ניתן לקבל בפניה אלינו במייל (הפרטים בהמשך).

מה שיטת התשלום על המוצר?

סריקת פרוייקטים ציבוריים (פתוחים) היא ללא תשלום.
סריקת פרוייקטים פרטיים היא ע"פ כמות שורות הקוד שיש לכם בפרוייקטים ואותם תרצו לסרוק.
המחירים מתחילים מ- 10 יורו לחודש (לעד 100,000 שורות קוד). ניתן לפנות אלינו לקבלת מחיר מדוייק והסברים (הפרטים בהמשך).
ניתן גם לרכוש רישוי באמצעותנו (אנחנו הנציגים הרשמיים היחידים של המוצר והיצרן בישראל) וכך לקבל סיוע בכל הקשור לרישוי – לפני ואחרי הרכישה.

אנחנו רוצים פתרון בענן / SaaS עם שליטה מלאה שלנו על הסביבה, ובפרטיות מלאה. מה ניתן לעשות?

כאמור לעיל, SonarCloud לא יספק לכם שליטה מלאה על הסביבה (ולא פרטיות מלאה למידע ולקוד שלכם) – הואיל וזהו פתרון "Multi-tenant". חשוב להיות מודעים לנושא.
מה שכן ניתן לעשות – זה להתקין את SonarQube על מכונה פרטית משלכם בענן (בכל ענן שתרצו). תוכלו לנהל את הסביבה בעצמכם, ולחילופין גם אנחנו נוכל לנהל זאת עבורכם (אנו מציעים שירות מנוהל כזה עם תמיכה איכותית של הצוות שלנו). לפרטים נוספים פנו אלינו.

איך יודעים כמה שורות קוד יש לנו ?

אפשר לחבר פרוייקטים ל- SonarCloud ולקבל 14 יום התנסות (trial) ללא תשלום כאן או בפנייה אלינו.
ניתן גם לפנות אלינו בעזרה ב- onboarding וחיבור נכון לקוד שלכם ולתהליכי פיתוח / CI/CD / DevOps שלכם.

אפשרות נוספת לדעת כמות שורות קוד (אם לא רוצים עדיין להשתמש ב- SonarCloud) היא דרך שימוש בכלי חינמי בקוד פתוח – ניתן לפנות אלינו במייל ונשמח לשלוח הסבר ופרטים.

קישורים רלוונטים:

• אתר SonarQube ישראל (עברית)
• עמוד GitHub
• אתר GitLab (עברית)
• אתר Bitbucket (עברית)

המאמר נכתב לראשונה בינואר 2022.