SonarQube помогает выявлять уязвимости и ошибки в коде следующим образом:

1. Сканирует исходный код в поисках потенциальных ошибок, уязвимостей и проблем с поддержкой. 5
2. Представляет результаты в отчёте с обнаруженными проблемами, к которым можно писать комментарии, делегировать их другим пользователям, открывать или закрывать. 2
3. Поддерживает анализ кода и поиск ошибок на базе стандартов программирования CERT Secure Coding Standards, MISRA C, MISRA C++ и MITRE/CWE. 1 Также платформа распознаёт ошибки из списков OWASP Топ-10 и CWE/SANS Топ-25 ошибок программирования. 1
4. Позволяет исследовать обнаруженные проблемы методом анализа «сверху вниз»: от значения интересующей метрики для всего проекта в целом до конкретного участка кода прямо в окне браузера. 4
5. Предоставляет оценку времени, необходимого для устранения проблем в коде. 4 Например, если в проекте накопился большой объём технического долга, можно сказать, сколько нужно времени для его устранения. 4