SonarQube[1] 作为一款开源静态代码分析工具，在金融、互联网领域广泛应用，尽管其误漏报率和缺陷模式的更新，与商业工具相比具有一定差距，但其轻量级、与Devops快速集成、免费使用等特点受到了很多软件开发组织的青睐，仍然被很多用户选择其为研发安全的重要白盒检测工具。

为了方便大家的使用，甚至很多安全公司，将其作为底层封装中文化后成为”自主可控”代码分析工具，以相对商业工具更加低廉的价格在国内市场销售，但开源工具一定是安全的吗？有免费的午餐吗？

近日有媒体报道[2]，黑客声称通过利用SonarQube零日漏洞对多家企业进行了入侵，窃取政府和企业源代码。2020年7月以来，来自互联网、金融、零售等领域的 50 多家知名公司内部软件源代码泄露，包括微软、Adobe、联想、AMD、高通、摩托罗拉、华为海思、联发科技、GE家电、任天堂、Roblox、迪士尼、江森自控等知名公司，失去对互联网源代码的控制，就像把银行的蓝图交给劫匪一样。

由此，我们认为正在使用SonarQube的企业请做好系统管控源码服务器安全工作，在未明漏洞被修补之前请暂时离线使用或者删除源码。不过，依赖国外产品总归是治标不治本，国产化替代才是如今国际局势下中国各大行业防患于未然的必然选择。工信部2021三年规划中[3]明确给出了未来三年大力发展自主可控的软件代码分析工具。作为国内仅有的几家完全自主可控的商业代码分析技术研发厂商-鸿渐科技，将继续加大创新和研发力度，助力推进国产自主可控替代计划，构建安全可控的信息技术体系和安全可靠的代码分析服务。

参考：

[1] https://www.sonarqube.org/

[2] https://mp.weixin.qq.com/s/c6RpvvY5ihRKVmcAFeXGXg

[3] https://baijiahao.baidu.com/s?id=1705177980853560205&wfr=spider&for=pc