SonarQube and JavaScript

פורסם ב 9 בדצמבר 2025 ¬ 7:18Tamir Gefen

Getting your Trinity Audio player ready...

במאמר הבא אסקור יכולות של SonarQube הקשורות ל- JavaScript (JS) ועוזרות למפתחים ולמנהלי פיתוח, כולל הדגמות.

SonarQube מציע סריקת קוד סטטי (SAST) של למעלה מ- 30 שפות ו- framworks (כולל שפות תשתית).
אחת הפופולריות ביניהן היא JavaScript (JS) .
הכלי מציע למעלה מ- 420 חוקים ל- JS (חלק גדול מהם יחודיים), ויודע לתמוך ב -5 היבטים:
Bugs, Security Vulnerability, Security Hotspot, Code Smell ו- Quick fix .
ניתן לקבל מאיתנו קובץ אקסל מפורט ועדכני הכולל את כל החוקים ל- JS (וגם לשפות נוספות) – פנו אלינו במייל הרשום מטה.

תוכן עניינים:

Bugs
Security Vulnerability
Security Hotspot
Code Smell
מה הופך את SonarQube למתאים במיוחד ל JavaScript ?
סרטון הדגמה
תמיכה במגוון רחב של סטנדרטים
תמיכה במגוון מערכות הפעלה וקומפיילרים
מידע על עלויות ומחירים

שאלות? ניתן לפנות אלינו ונשמח לענות! מייל sonarqube@almtoolbox.com (טלפון בהמשך המאמר)

Bugs (באגים)

ב- SonarQube למעלה מ- 80 חוקים ל- JS המוצאים באגים ומסבירים כיצד לתקן אותם.
להלן מספר דוגמאות:

Security Vulnerability (חולשות אבטחה)

ב- SonarQube יש כיום מעל 30 חוקים ל- JS המוצאים חולשות אבטחה ומסבירים כיצד לתקן אותם.
להלן מספר דוגמאות:

"memset" should not be used to delete sensitive data

Accessing files should not introduce TOCTOU vulnerabilities

Security Hotspot

ב- SonarQube למעלה מ- 60 חוקים ל- JS, המוצאים Security hotspots ומסבירים כיצד לתקן אותם.

Security Hotspot הוא איזור בקוד החשוד כחולשה (vulnerability) – בד"כ בגלל עבודה מול API רגיש,
תבניות או פעולות שעלולות להיות רגישות – ומצריך מעבר של גורם אנושי כדי להחליט האם יש שם חולשה.
להלן מספר דוגמאות:

Setting loose POSIX file permissions is security-sensitive

Using "strncpy" or "wcsncpy" is security-sensitive

Code Smell

ב- SonarQube למעלה מ- 240 חוקים ל- JS המוצאים Code Smells ומסבירים כיצד לתקן אותם.
להלן מספר דוגמאות:

Collapsible "if" statements should be merged

מה הופך את SonarQube למתאים במיוחד ל Javascript ?

מגוון רחב של חוקים (מעל 420)
התאמה ל- frameworks רבים של JS (כגון React, Node.JS, Vue.js, Angular ועוד – פירוט בהמשך)
גישת "Clean Code"
סריקה מהירה! כולל סריקה אינקרמנטלית (Incremental analysis) רק על הקוד שהשתנה,
וכן סריקה מקבילית (Multi-threaded analysis) לניצול מיטבי של משאבי מחשוב
איתור באגים הקשורים לאבטחת מידע ו- Security
אינטגרציה חזקה מול תהליכי פיתוח ו- CI
אינטגרציה מול IDEs וכלי פיתוח התומכים ב- Javascript
תמיכה איכותית של היצרן, כולל אפשרות לתמיכה בארץ או שירות מנוהל (שלנו) החוסך מכם את הצורך להתעסק בתחזוקת השרת ובתפעולו השוטף

סרטון הדגמה של SonarQube ו- JS

להלן סרטון הדגמה של SonarQube בשילוב JavaScript.
הוספנו לנוחיותכם נקודות מרכזיות על ציר הזמן של הוידאו (אפשר לקפוץ אליהם דרך הנגן):

13:20 הדגמה של Clean Code ו- New Code עם JS בשימוש SonarQube
18:20 68% מהמפתחים כותבים JavaScript

תמיכה במגוון רחב של סטנדרטים ו- Frameworks:

Editions 3 & 5, ECMAScript 2015 to 2022
React JSX, Angular, Vue.js, Node.js, Express, Flow
תמיכה ב- Test Frameworks) Mocha, Chai)
תמיכה באפליקציות Cloud native:
Dedicated AWS CDK rules to find vulnerabilities in cloud infrastructures described by JS/TS
תמיכה ב- API של databases:
Sequelize, pg, pg-pool, pg-promise, mysql, mysql2, sqlite3, better-sqlite3, knex, MongoDB node.js, Mongoose ODM
OWASP Top 10
CWE Top 25
SANS Top 25
PCI DSS

תמיכה במגוון מערכות הפעלה וקומפיילרים (גם עבור סריקת קוד בשפות נוספות):

Windows, Linux, macOS
Clang, GCC, MSVC, ARM, QNX compilers
Intel compilers for Linux, macOS
Compilers based wholly on GCC including Linaro GCC
Wind River Diab and GCC
IAR compilers for 8051, ARM, AVR32, AVR, Renesas RL78, Renesas RX, Renesas V850, Renesas H8, and Texas Instruments MSP430
Texas Instruments compilers on Windows and macOS for ARM, C2000, C6000, C7000, MSP430, PRU

מידע על עלויות ומחירים

רוב החוקים המאתרים בעיות אבטחה ו- Security בקוד JavaScript לא קיימים במהדורה החינמית (Community Edition) של SonarQube.
תמיכה מלאה ב- JavaScript קיימת במהדורות הבאות: Developer Edition, Enterprise Edition ו- DataCenter Edition .
תמיכה בדו"חות Security ו – OWASP קיימת רק במהדורת SonarQube Enterprise.

מחיר SonarQube תלוי במספר פרמטרים. לפרטים נוספים על ההבדלים בין המהדורות אפשר לקרוא במאמר הבא או לפנות אלינו (הפרטים להלן).

המאמר פורסם לראשונה באוקטובר 2024 ומאז אנו מעדכנים אותו מעת לעת.

חברת ALM-Toolbox היא המפיצה הרשמית היחידה של חברת SonarSource (יצרנית SonarQube , SonarCloud ו- SonarLint) בישראל ובמדינות נוספות,
ומספקת שירות מנוהל, תמיכה, הדרכות, יעוץ ורשיונות ל- SonarQube ולמגוון כלי פיתוח ו- DevOps משלימים.
לפרטים נוספים פנו אלינו sonarqube@almtoolbox.com או טלפונית 072-240-5222

קישורים רלוונטים:

אתר SonarQube ישראל
כיצד SonarQube עוזר למפתחים ולמנהלי פיתוח?
הקלטת וובינר: סקירה על SonarQube ומה חדש (2025)
הקלטת וובינר עם סיפור לקוח: SonarQube @ Dell (עברית)
הקלטת וובינר – הסבר על SonarQube & Code Security (בעברית)
הסבר על התמיכה של SonarQube ב- Java
הסבר על התמיכה של SonarQube ב- #C
הסבר על התמיכה של SonarQube ב- ++C
אתר היצרן (טכני)

עקבו אחרינו ב-Linkedin

עקבו אחרינו ב-

DevOps, JavaScript, SonarQubecode-security, CWE, JS, owasp, vulnerabilities, ג'אוה סקריפט, חולשות, פיתוח, שפת Javascript