「静的解析」だけで終わらせない。 SonarQube の最新機能 × AIで エンジニアの開発生産性を本気で上げる方法

Transcript

1. Confidential - ©2026, SonarSource Sàrl Confidential - ©2026, SonarSource Sàrl

   「静的解析」だけで終わらせない。 SonarQube の最新機能 × AIで エンジニアの開発⽣産性を本気で上げる⽅法 施 文翰 2026. 2. 20 1

2. Confidential - ©2025, SonarSource SA 私のAI Codingの話 2

3. Confidential - ©2026, SonarSource Sàrl AI Coding - Vibe だけでは足りない

   3 生成コードへの検証Verifyが必要 • セキュリティ • 可用性 • 保守性 • OSSライブラリ • OSSライセンス • …etc

4. Confidential - ©2026, SonarSource Sàrl 検証のスピードが足りない 4 AIによりコードを生成スピー ドが加速された AI生成コードは、セキュリティ、品

   質、保守性について エンジニアに よる検証が必要 このギャップは生産性 を制限。しかもAIによる リスクが増大 Google のような大手企業は現在、AI コー ディング ツールによる生産性向上はわず か 10% であると報告 Source: Lex Friedman podcast interview with Sundar Pichai of Google and Alphabet June 5, 2025

5. Confidential - ©2026, SonarSource Sàrl AI Agentによる検証の不足性 5 • 判定根拠：ブラックボックス、確率論

   • 再現性：学習データとプロンプトにより回 答が揺れる • 客観性：セルフレビューの限界、⽣成側と 同じバイアスを持つ • コスト：外部AI モデルを利⽤する場合、検 証毎にTokenが消費され、コストが増加 GitClearの調査（2025年）では、同じAIによるセル フレビューを⾏うと、コードの重複が8倍増え、脆 弱性が約38%増加するの報告 https://www.gitclear.com/ai_assistant_code_quality_2025_research

6. Confidential - ©2026, SonarSource Sàrl SonarQubeを活用してAI Codingを検証 • 判定根拠：ホワイトボックス‧決定論的 ◦

   7K+ルールベース ◦ どのルールのどの箇所に違反したかが明確 • 再現性：100%の同⼀性 ◦ 何度実⾏しても常に同じ箇所を指摘 • 客観性：独⽴した検証レイヤー ◦ 組織全体で共通の「品質閾値」を適⽤で き、個々のエージェントの癖に寄らない • コスト：OSS‧検証回数無制限 6

7. 7 z IDEs JetBrains VS Code 35+ Languages and Frameworks

   Java JavaScript PHP Python Spring React Laravel Django DevOps GitLab GitHub BitBucket Azure Travis CI Jenkins Circle CI Google Cloud AWS Microsoft Marketplaces Expand Your Value With: Premium support | Advanced Security | …and more to come Cloud Free | Team | Enterprise Server Community Build | Developer | Enterprise | Data Center SonarQube for IDE OUR SOLUTION Windsurf Cursor CodeCatalyst

8. 8 SonarQubeを使って検証を加速させよ！ コードセキュリティ 生成コードと参照OSSライブラ リの両方を分析し、 バグや脆弱性を検出 コード品質 可用性・保守性・重複度 テストカバレッジなどの 観点から改善を提案

   Quality Gate 品質基準未達のコードを、マー ジ前に自動で遮断 解析結果・ SBOM出力 構成管理と品質状況を、自動 生成レポートで可視化 MCP Server AIが解析データに直接アクセ スし、文脈に沿って改善 AI Codefix ・Remediation 検知した問題をAIが自動修正 し、修正工数を激減

9. Confidential - ©2025, SonarSource SA コードセキュリティ - SAST 9 全ソースコードを対象とした、脆弱性およびホットスポットの網羅的検知

10. Confidential - ©2025, SonarSource SA コードセキュリティ - SAST 10 クロスファンクション・クロスファイル、およびフレームワークを考慮したデータフロー解析

    Taint vulnerabilities Cross-Site Scripting XSS SQL Injection Path Injection Deserialization Server-Side Request Forgery XML Injection / XXE XPath Injection Argument Injection Command Injection Code Injection Reflection Injection Session Fixation Zip Slip Server-side Template Injection NoSQL Injection Open Redirect Log Injection RegEx Injection ReDoS LDAP Injection …

11. Confidential - ©2025, SonarSource SA コード品質 11 ソースコードの潜在的リスクを特定し、技術的負債を減らす

12. Confidential - ©2025, SonarSource SA 12 SonarLint - Shift Risk

    Assurance to the Start of the SDLC

13. Confidential - ©2025, SonarSource SA 13
 Security: （セキュリティ）不正アクセス、利⽤、破壊からのソフトウェア保護 Reliability: （信頼性）規定の条件下で、⼀定期間パフォーマンスを維持する能⼒

    Maintainability: （保守性）コードの理解、修正、および改善のしやすさ Hotspots: （ホットスポット）開発者による確認が必要な、セキュリティ上重要なコード箇所 Dependency Disk: - サードパーティ製オープンソースに含まれる脆弱性 - 組織のライセンスポリシーに抵触する可能性のあるライブラリ Coverage: （テストカバレッジ）テストケースによって網羅されているコードの割合 Duplications: （コードの重複度）ソースコード内における同⼀または類似したブロックの繰り返し

14. Confidential - ©2025, SonarSource SA Quality Gate 14 品質基準を定義し、未達のコードをマージ前に自動で遮断し、レビュー工程の負荷を軽減

15. Confidential - ©2025, SonarSource SA Quality Gate 15 • 複数定義のサポートにより、開発ス

    タイルに合わせた個別設定が可能 • PR/MRへ判定結果を直接コメント し、基準未達時のマージをブロック • 新規コードの品質低下をマージ前に 確実に阻⽌

16. Confidential - ©2025, SonarSource SA コードセキュリティ - SCA ソフトウェア構成分析により依存関係の状況を理解し、リスクを発見 16

    First-party code Open source packages Log4j 2.15.0 OSS License 不正利用検出 OSSライブラリ 脆弱性CVE検出

17. Confidential - ©2025, SonarSource SA Quality Gate 17 • 複数定義のサポートにより、開発ス

    タイルに合わせた個別設定が可能 • PR/MRへ判定結果を直接コメント し、基準未達時のマージをブロック • 新規コードの品質低下をマージ前に 確実に阻⽌

18. Confidential - ©2025, SonarSource SA Issueの自動修正 18 AI CodeFix •

    AIによる修正案の⾃動⽣成と提⽰ • 開発フローを⽌めないワンクリック 修正 • 脆弱性やコードスメル（Code Smells）を即座に解消 • SonarQube IDEと連携可能

19. Confidential - ©2025, SonarSource SA Issueの自動修正 19 AI CodeFix •

    AIによる修正案の⾃動⽣成と提⽰ • 開発フローを⽌めないワンクリック 修正 • 脆弱性やコードスメル（Code Smells）を即座に解消 • SonarQube IDEと連携可能

20. Confidential - ©2025, SonarSource SA Issueの自動修正 20 Remediation Agent •

    PRのQuolity Gate失敗時に⾃動起動 • 修正案の確認‧適⽤が容易 • セキュリティ、信頼性、保守性問題 を網羅 • GitHubとのシームレスな連携

21. Confidential - ©2025, SonarSource SA SonarQube MCP Server 21 AIエージェントと

    LLMはMCPサーバー を介してSonarQube のリソースにアクセ スし、解析結果や関 連ルールなどのコン テキストが取得可能

22. Confidential - ©2025, SonarSource SA SonarQube MCP Server 22 検知された問題点に

    該当するRuleを取得 問題点の場所が特定さ れ 対応方法も入手可能 優先度で切り分けし、段 階的な修正を実現 • 公式解析ルールに基づく正確な 修正 • 修正範囲が特定され、周辺ロ ジックを壊さず、問題箇所だけ を修正 • PJ独⾃の品質基準（「Quality Gate」や「Quality Profile」） に遵守

23. Confidential - ©2025, SonarSource SA Live Demo 23

24. Confidential - ©2025, SonarSource SA Live Demo 24

25. Confidential - ©2025, SonarSource SA Security Reports 25 業界標準への準拠証明や、ソフトウェア部品表（ SBOM）、プロジェクト解析結果の

    CSVを出力

26. Confidential - ©2026, SonarSource Sàrl 26 Thanks! Clean CodeとApplication Securityに関する世界規模のカンファ

    レンス。AI駆動開発の未来や、Sonar製品の最新ロードマップを いち早く発表。⽇本におけるお客様の事例と体験談もあります！ Japan Watching Party in Shinagawa 主要セッションを⽇本語で紹介 ＋ランチ＆ドリンク • 会場：株式会社クレスコ様 本社    （品川インターシティA棟 26階） • 時間：3⽉4⽇(⽕曜⽇) 11:45 - 16:00 QRコードからアンケートに回答し、イベントへお申し込みください（抽選制）。 本⽇の資料と、イベント当⽇限定ノベルティをプレゼント！

27. Confidential - ©2026, SonarSource Sàrl 27 Thanks!

28. Confidential - ©2025, SonarSource SA SonarQube MCP Server 28 Toolset

    Description Analysis コード分析ツール Issues SonarQubeの課題の検索と管理 Projects SonarQubeプロジェクトの閲覧と検索 Quality Gates Quality Gateとそのステータスへのアクセス Rules SonarQubeルールの閲覧と検索 Sources ソースコードとSCM情報にアクセス Measures 指標と測定基準を取得 Languages サポートされているプログラミング⾔語の⼀覧 Portfolios ポートフォリオとエンタープライズを管理 System システム管理ツール (SonarQube Server のみ) Webhooks Webhookの検索と⽣成 Dependency Risks 依存関係リスクの検索