Zum Inhalt springen
Freemium 🇪🇺 EU-Server Zuletzt geprüft: Juni 2026

SonarQube

Sonar (SonarSource SA)

4/5
Tool öffnen

SonarQube ist der Marktstandard für statische Code-Analyse und Continuous Code Quality. Die Plattform erkennt Bugs, Security-Schwachstellen, Code Smells und Test-Coverage-Lücken in 30+ Programmiersprachen, wahlweise Self-hosted (mit voller Datenkontrolle) oder als Cloud-Service. AI Code Assurance prüft KI-generierten Code agentisch in Echtzeit, schon vor dem Pull Request.

Kosten: Community Build kostenlos (Self-hosted, unbegrenzt); SonarQube Cloud Free 0 USD (50k LOC private Projekte); Cloud Team ab 32 USD/Monat (bis 100k LOC, skalierbar bis 1,9M LOC); Cloud Enterprise auf Anfrage (40+ Sprachen); Server Developer/Enterprise/Data Center pro Instanz nach LOC auf Anfrage

Kategorien

Stärken

  • Unterstützt 35+ Sprachen, von Java und Python bis Kotlin, TypeScript, Go und COBOL
  • Kostenlose Community-Edition für unbegrenzten Self-hosted-Einsatz ohne LOC-Limit
  • Nahtlose CI/CD-Integration (GitHub Actions, GitLab CI, Jenkins, Azure DevOps)
  • AI Code Assurance: agentische Echtzeit-Prüfung von KI-generiertem Code vor dem Pull Request, plus AI CodeFix mit regelbasierten Fix-Vorschlägen
  • Self-hosted mit voller Datenkontrolle, AI CodeFix seit Server 2026.2 auch vollständig On-Premise

Einschränkungen

  • Cloud-Version: Preise skalieren stark bei Codebasen über 100k LOC
  • Security-Tiefe (Advanced SAST, SCA, SBOM) nur in teuren Enterprise-Tarifen
  • Keine deutschsprachige Oberfläche oder Support
  • Initiale Konfiguration, Rule-Tuning und CI/CD-Integration erfordert Entwicklererfahrung

Passt gut zu

Entwicklungsteams jeder Größe, die Code-Qualität systematisch messen und verbessern wollen Unternehmen, die Security-Findings (SAST) als Teil des Pull-Request-Prozesses integrieren Teams mit Self-hosted-Anforderungen (on-premises, DSGVO-konform) DevSecOps-Teams, die KI-generierten Code automatisiert auf Sicherheitslücken prüfen wollen

Wann ja, wann nein

Wann ja

  • Dein Team will Code-Qualität und Security-Findings systematisch im Pull-Request-Prozess messen
  • Du brauchst Self-hosted-Deployment mit vollständiger Datenkontrolle (On-Premises)
  • Du setzt KI-Coding-Tools ein und willst KI-generierten Code automatisch auf Qualität prüfen
  • Dein Unternehmen braucht nachweisbare Security-Compliance im CI/CD-Prozess

Wann nein

  • Du suchst ein einfaches Linting-Tool ohne Server-Setup und CI/CD-Integration
  • Dein Team besteht aus weniger als 3-4 Entwicklern ohne DevOps-Erfahrung
  • Du brauchst ausschließlich Open-Source-Dependency-Scanning (da ist Snyk besser)
  • Dein Budget erlaubt keinen bezahlten Plan und du brauchst mehr als 50k LOC in der Cloud

Kurzfazit

SonarQube ist die unangefochtene Referenz für statische Code-Analyse im professionellen Umfeld. Kein anderes Tool vereint so viele Sprachen, so tiefe Security-Prüfung und so saubere CI/CD-Integration unter einem Dach, und bietet gleichzeitig eine vollständig kostenlose Self-hosted-Option. Der Haken: Die wirklich interessanten Features (Advanced SAST, AI CodeFix, SCA) sind teuren Tarifen vorbehalten, und wer die Cloud-Version skaliert, zahlt schnell mehrere Tausend Euro im Jahr. Für jedes Team, das Code-Qualität ernst nimmt und Entwickler-Erfahrung mitbringt, gibt es wenig Vergleichbares.

Für wen ist SonarQube?

Entwicklungsteams in Wachstumsunternehmen: Sobald mehr als 3-4 Entwickler gleichzeitig an einer Codebasis arbeiten, zahlt sich SonarQube aus. Quality Gates in Pull Requests verhindern, dass neue Bugs und Security-Lücken in den Hauptbranch gelangen, ohne dass jemand manuell Code-Reviews für Standardprobleme verschwenden muss.

DevSecOps- und Security-Teams: SonarQube ist eines der wenigen Tools, das SAST (Static Application Security Testing) direkt in den Entwicklungsprozess integriert, nicht als nachgelagertes Security-Audit, sondern als Teil jedes Commits. Security-Hotspots, SQL-Injection-Risiken und hartcodierte Secrets werden gefunden, bevor sie in Produktion gehen.

Engineering Manager mit Qualitätsverantwortung: Das Dashboard zeigt Tech-Debt, Coverage-Trends und Security-Ratings für das gesamte Portfolio, in Zahlen, die auch gegenüber dem Management kommunizierbar sind. “Wir haben den Tech Debt von 3 Monaten auf 6 Wochen reduziert” ist dank SonarQube erstmals quantifizierbar.

Teams mit On-Premises-Anforderungen: Banken, Versicherungen, Gesundheitswesen, überall dort, wo Code die eigene Infrastruktur nicht verlassen darf, ist die kostenlose Community Build die einzige ernst zu nehmende Alternative in dieser Qualitätsklasse.

KI-Code-intensive Teams: Wer GitHub Copilot, Cursor oder ähnliche KI-Coding-Tools einsetzt, bekommt mit AI Code Assurance automatische Prüfung, ob KI-generierter Code die gleichen Qualitäts- und Security-Standards erfüllt wie menschlich geschriebener Code.

Weniger geeignet für: Solo-Entwickler oder sehr kleine Teams ohne DevOps-Hintergrund. Wer nur gelegentlich kleinen Code schreibt, ist mit SonarLint (die kostenlose IDE-Extension) besser bedient. Für reines Open-Source-Dependency-Scanning (SCA) ist Snyk fokussierter und günstiger.

Preise im Detail

SonarQube Cloud (SaaS, ehemals SonarCloud)

PlanPreisLOC-LimitHighlights
Free0 USD50.000 (private Projekte)30+ Sprachen, Basis-Scan, Bug- und Schwachstellenerkennung
Teamab 32 USD/Monatbis 100.000, skalierbar bis 1,9M30+ Sprachen, AI CodeFix, Secrets Detection, Support (empfohlen für Teams unter 50 Entwicklern)
Enterpriseauf Anfrage (Jahrespreis)individuell, unbegrenzt Nutzer40+ Sprachen inkl. ABAP, COBOL, Apex, Advanced Security Reports, Audit-Logs, OWASP/CWE/PCI DSS/MISRA

SonarQube Server (Self-hosted)

EditionPreisZielgruppeHighlights
Community Buildkostenloskleine bis mittlere Teams20+ Sprachen, CI/CD-Integration, kein LOC-Limit
Developerpro Instanz nach LOC (auf Anfrage)wachsende Teamserweiterte Sprachunterstützung, Advanced Bug Detection, Secrets
Enterprisepro Instanz nach LOC (auf Anfrage)große Codebasen40+ Sprachen, AI CodeFix, MISRA-Compliance, Portfolio
Data Centerpro Instanz nach LOC (auf Anfrage)Konzern-MaßstabHorizontal Scaling, High Availability, Autoscaling

Einordnung: Die Community Build reicht für viele mittelgroße Teams vollständig aus, sie ist kostenlos, ohne LOC-Limit und deckt 20+ Sprachen ab. Der Sprung auf Developer lohnt sich, wenn du die erweiterte Sprachunterstützung oder tiefere Bug-Detection brauchst, die Server-Editionen werden allerdings pro Instanz nach Codebasis-Größe lizenziert und sind nur auf Anfrage bepreist, einen öffentlichen Listenpreis nennt Sonar nicht mehr. Die Cloud-Team-Variante ab 32 USD/Monat ist attraktiv für Teams ohne eigene Infrastruktur, skaliert aber mit der Codebasis bis 1,9M LOC und wird bei größeren Projekten entsprechend teurer. Enterprise und Data Center sind Konzernthemen.

Stärken im Detail

35+ Sprachen mit echter Tiefe. SonarQube analysiert nicht nur Syntax, es versteht semantische Zusammenhänge im Code. Für Java, Python, JavaScript/TypeScript, C#, Go und Kotlin ist die Regeltiefe besonders hoch: Kontextabhängige Bug-Erkennung, Taint-Analyse für Security-Flows und Framework-spezifische Regeln (Spring, React, Django). Auch Nischensprachen wie COBOL, PL/SQL und Apex für Salesforce-Entwickler werden abgedeckt, ein klares Alleinstellungsmerkmal gegenüber spezialisierten Tools.

Quality Gates blockieren schlechten Code automatisch. Der leistungsfähigste Hebel in der täglichen Arbeit ist nicht der Report, es ist das Quality Gate. Du definierst: “Kein Pull Request darf zusammengeführt werden, wenn er neue kritische Security-Issues einbringt oder die Coverage unter 80 Prozent fällt.” Danach läuft es automatisch. Neue Entwickler, die ein Anti-Pattern einbringen, bekommen sofort Feedback, ohne dass ein Senior-Entwickler es reviewen muss.

AI Code Assurance für KI-generierten Code. SonarQube verifiziert KI-generierten Code agentisch und in Echtzeit, also schon während der Generierung und vor dem Pull Request, nicht erst Stunden später im CI. Dabei werden die bestehenden Quality Profiles automatisch über alle eingesetzten KI-Tools angewandt, egal ob GitHub Copilot, Cursor oder ein anderer Assistent. So gilt für maschinell geschriebenen Code derselbe Qualitäts- und Security-Maßstab wie für menschlich geschriebenen. Ergänzend liefert AI CodeFix regelgebundene Fix-Vorschläge direkt in der IDE und im Pull Request, die sich per Klick anwenden lassen, in SonarQube Cloud Team ist diese Funktion bereits enthalten. Seit SonarQube Server 2026.2 ist AI CodeFix auch vollständig On-Premise nutzbar, für besonders sensiblen Code ohne Cloud-Abhängigkeit.

CI/CD-Integration ohne Vendor-Lock-in. SonarQube lässt sich mit GitHub Actions, GitLab CI, Jenkins, Bitbucket Pipelines, Azure DevOps und fast jedem anderen CI-System verbinden. Die IDE-Extension SonarLint (kostenlos) zeigt Issues bereits beim Schreiben an, noch bevor der Commit passiert. Diese Tiefe der Integration ohne proprietäre CI-Bindung ist selten.

DSGVO-freundlichstes Tool seiner Klasse. Für Self-hosted gilt: Die Codebasis verlässt die eigene Infrastruktur nie, das ist die sauberste DSGVO-Option überhaupt. Wer die Cloud-Variante nutzt, sollte Hosting-Region, Sub-Prozessoren und Zertifizierungen vorab im Trust Center von Sonar prüfen, statt sich auf pauschale Aussagen zu verlassen. Der Schweizer Unternehmenssitz in Genf liegt im DACH-Raum und damit nah am EU-Datenschutzrahmen.

Schwächen ehrlich betrachtet

Die wichtigsten Security-Features kosten extra. Die kostenlose Community Build hat zwar Basis-Security-Regeln, aber für echtes Advanced SAST (Taint-Analyse, Security Injections), Software Composition Analysis (SCA für Dependencies) und SBOM-Generierung braucht man Enterprise, das liegt deutlich im vierstelligen Bereich pro Jahr. Wer eine vollständige DevSecOps-Plattform ohne Enterprise-Budget will, muss Community Build mit Snyk kombinieren.

Cloud-Preise skalieren aggressiv. 32 USD/Monat klingen attraktiv, aber das gilt nur für 100k LOC. Bei 500k LOC steigt der Preis entsprechend. Wer eine größere Codebasis hat und nicht selbst hosten will, landet schnell bei dreistelligen Monatsbeiträgen. Konkurrenten wie GitHub Advanced Security sind für GitHub-Nutzer oft günstiger.

Kein Deutsch, kein deutschsprachiger Support. Die Oberfläche ist ausschließlich auf Englisch, Dokumentation und Community ebenso. Für internationale Teams kein Problem, für Unternehmen, die deutsche Support-Kommunikation benötigen, fehlt dieser Kanal komplett.

Setup und Rule-Tuning ist Entwicklerarbeit. Die Community Build in Docker hochzufahren dauert 30 Minuten. Aber danach kommen Hunderte Findings, viele davon legitim, viele False Positives je nach Projekt. Das Tuning von Quality Profiles, das Deaktivieren irrelevanter Regeln und die Konfiguration von Quality Gates braucht Erfahrung. Für Teams ohne dedizierten DevOps-Verantwortlichen kann das zum Blocker werden.

Performance bei sehr großen Codebasen. Auf Codebasen über 1 Million Zeilen kann ein vollständiger Scan bei der Community Build und Developer Edition mehrere Stunden dauern. Für schnelle CI/CD-Pipelines ist das ein Argument für die kostenpflichtige Data-Center-Edition oder für inkrementelles Scanning.

Alternativen im Vergleich

Wenn du……nimm stattdessen
Primär Open-Source-Dependencies scannen willstSnyk
KI-Coding-Assistenz direkt im Editor willst (nicht nur Analyse)GitHub Copilot oder Cursor
Secret-Scanning für Git-Repositories brauchstGitGuardian
Laufzeit-Performance-Monitoring zusätzlich zur Code-Analyse willstDatadog

SonarQube ist die tiefste statische Code-Analyse auf dem Markt, für Teams, die systematisch Code-Qualität und Security in den Entwicklungsprozess integrieren wollen. Snyk ergänzt es sinnvoll für Dependency-Security, ersetzt es aber nicht.

So steigst du ein

Schritt 1: Starte mit der kostenlosen Community Build. Lade SonarQube herunter und starte es mit Docker (docker run -d -p 9000:9000 sonarqube:community). Verbinde dein erstes Repository über den Einrichtungsassistenten. Der initiale Scan zeigt dir sofort alle bekannten Bugs, Security-Hotspots und Code Smells, bei einer gewachsenen Codebasis typischerweise mehrere Hundert Findings. Lass dich davon nicht überwältigen: Sortiere nach Schweregrad und beginne mit kritischen Security-Hotspots.

Schritt 2: Integriere SonarQube in deine CI/CD-Pipeline. Für GitHub Actions reicht ein YAML-Snippet mit sonarqube-scan-action. Aktiviere Quality Gates, sodass Pull Requests automatisch geblockt werden, wenn neue kritische Issues eingebracht werden, das ist der eigentliche Wertbeitrag. Installiere parallel SonarLint als IDE-Extension (kostenlos, für VS Code, IntelliJ, Eclipse), damit Entwickler Issues bereits beim Schreiben sehen.

Schritt 3: Konfiguriere ein Quality Profile für dein Team. Starte mit dem Sonar Way Profil (Standard) und verfeinere es: Deaktiviere Regeln, die für euren Tech-Stack irrelevant sind (z.B. Android-spezifische Regeln in einem reinen API-Projekt). Definiere einen klaren Tech-Debt-Abbau-Plan, SonarQube zeigt dir, wie viele Stunden der Abbau kosten würde. Setze ein realistisches Ziel für den ersten Monat, z.B. “Keine neuen kritischen Issues, bestehende um 20 Prozent reduzieren.”

Ein konkretes Beispiel

Ein Hamburger Fintech-Unternehmen mit einer Java/Kotlin-Backend-Codebasis (ca. 200.000 Zeilen Code) führt SonarQube Community Build auf einem eigenen Server ein, weil Kundendaten die eigene Infrastruktur nicht verlassen dürfen. Beim ersten Scan werden 47 kritische Security-Hotspots gefunden, drei davon sind SQL-Injection-Risiken, die sofort gepatcht werden. Das Quality Gate wird so konfiguriert, dass neue Pull Requests keine kritischen Issues einbringen dürfen. Nach sechs Wochen zeigt das Dashboard: offene Issues von 320 auf 94 reduziert, Coverage von 41 auf 58 Prozent gestiegen. Ein Security-Audit des externen Prüfers nimmt die SonarQube-Reports als Nachweisdokumentation an, was früher aufwendige manuelle Dokumentation war, ist jetzt automatisierter Audit-Trail.

DSGVO & Datenschutz

  • Self-hosted (Community Build, Developer, Enterprise, Data Center): Code und Analyse-Daten verlassen die eigene Infrastruktur nie. Beste DSGVO-Option, volle Datenkontrolle, kein Cloud-Drittanbieter involviert. Für sensiblen Code lässt sich seit SonarQube Server 2026.2 auch AI CodeFix vollständig On-Premise betreiben.
  • SonarQube Cloud (SaaS): Bei der Cloud-Variante verlässt der gescannte Code die eigene Infrastruktur. Prüfe Hosting-Region und Sub-Prozessoren vor dem Einsatz direkt im Trust Center von Sonar, die Region wird je nach Plan und Vertrag festgelegt.
  • Unternehmensstandort: Sonar (SonarSource SA), Hauptsitz in Genf, Schweiz, also im DACH-Raum und damit nah am EU-Datenschutzrahmen.
  • Zertifizierungen: Sonar weist Sicherheitszertifizierungen im Trust Center aus. Die konkrete Liste (etwa ISO 27001, SOC 2) solltest du dort tagesaktuell abrufen, statt dich auf Drittangaben zu verlassen.
  • AVV/DPA: Über den Enterprise-Vertrieb erhältlich. Für kleinere Teams gibt es keinen Standard-AVV im Self-Service.
  • Empfehlung für Unternehmen mit strengen DSGVO-Anforderungen: Self-hosted Community Build oder eine Server-Edition wählen, das ist die sauberste Lösung ohne jegliche Cloud-Abhängigkeit.

Gut kombiniert mit

  • Snyk, SonarQube analysiert den eigenen Code (SAST), Snyk scannt Open-Source-Dependencies (SCA): zusammen vollständige DevSecOps-Abdeckung ohne Lücken
  • GitHub Copilot, KI-generierten Code direkt mit SonarQube AI Code Assurance auf Qualitäts- und Sicherheitsprobleme prüfen, bevor er in Produktion geht
  • Datadog, Code-Qualitäts-Trends aus SonarQube mit Laufzeit-Performance-Daten aus Datadog verbinden: vollständiges Engineering-Monitoring von der Entwicklung bis zur Produktion

Unser Testurteil

SonarQube verdient 4 von 5 Sternen. Kein anderes Tool bietet diese Kombination aus Sprachtiefe, CI/CD-Integration und kostenloser Self-hosted-Option, und gerade die vollständige On-Premises-Variante macht SonarQube zur DSGVO-freundlichsten Wahl in seiner Kategorie, weil der Code die eigene Infrastruktur nie verlässt. Den fünften Stern kostet das mit der Codebasis skalierende Preismodell in der Cloud, das fehlende Deutsch und die Tatsache, dass die wirklich mächtigen Security-Features (Advanced SAST, SCA) erst in teuren Enterprise-Tarifen verfügbar sind. Für Teams, die bereit sind, die initiale Setup-Hürde zu nehmen, ist SonarQube die klarste Empfehlung im Bereich Code-Qualität und DevSecOps.

Was wir bemerkt haben

  • 2024, SonarCloud wurde offiziell in “SonarQube Cloud” umbenannt, die Cloud-Variante ist jetzt unter demselben Markendach wie die Self-hosted-Version. Das reduziert die Verwirrung, die bisher dadurch entstand, dass viele Nutzer nicht wussten, ob SonarCloud und SonarQube dasselbe Produkt sind.
  • 2025, AI Code Assurance wurde als neues Feature eingeführt, das automatisch erkennt, welche Code-Abschnitte von KI-Tools (Copilot, Cursor u.a.) generiert wurden. Angesichts des rasanten Anstiegs von KI-generiertem Code in Produktionsumgebungen ist das ein zeitgemäßes und differenzierendes Feature.
  • 2024, Die Community Edition wurde in “Community Build” umbenannt, bleibt aber kostenlos und ohne LOC-Limit für Self-hosted-Betrieb, ein wichtiges Signal, dass Sonar die Open-Source-Variante nicht einschränken will.
  • 2026.2, AI CodeFix wurde für SonarQube Server vollständig On-Premise verfügbar, also ohne dass Code zur Fix-Generierung in die Cloud muss. Für regulierte Branchen ist das die entscheidende Voraussetzung, um KI-Fix-Vorschläge überhaupt einsetzen zu dürfen.
  • Juni 2026, Bei der Quellenprüfung fiel auf: Sonar nennt für die Server-Editionen (Developer, Enterprise, Data Center) keinen öffentlichen Listenpreis mehr, sie werden pro Instanz nach Codebasis-Größe lizenziert und nur auf Anfrage bepreist. Wir haben frühere Festpreis-Angaben (z.B. “ab 750 USD/Jahr”) deshalb entfernt. Auch die zuvor genannte EU-Hosting-Region für SonarQube Cloud ließ sich nicht mehr offiziell bestätigen und wurde durch den Hinweis ersetzt, Region und Sub-Prozessoren direkt im Trust Center zu prüfen.

Quellen

  1. Sonar – Plans and Pricing. https://www.sonarsource.com/plans-and-pricing/ (abgerufen am 2026-06-14). SonarQube Cloud Free bis 50k LOC; Team ab 32 USD/Monat bis 100k LOC (skalierbar bis 1,9M LOC, empfohlen für Teams unter 50 Entwicklern); Enterprise mit individueller Jahrespreisgestaltung, 40+ Sprachen inkl. ABAP, COBOL, Apex; Server-Editionen Developer/Enterprise/Data Center pro Instanz nach LOC.
  2. Sonar – AI Solutions (AI Code Assurance, AI CodeFix). https://www.sonarsource.com/solutions/ai/ (abgerufen am 2026-06-14). AI Code Assurance: agentische Echtzeit-Verifikation von KI-generiertem Code vor dem Pull Request, nutzt Quality Profiles über alle KI-Tools; AI CodeFix: regelbasierte Fix-Vorschläge in IDE und PR, On-Premise-Option in SonarQube Server 2026.2.

Diesen Inhalt teilen:

Empfohlen in 2 Use Cases

Empfohlen für diese Branchen

Arthur Atlas

KI-Analyst

So entsteht diese Bewertung

Diese Seite bewerten wir redaktionell, mit kräftiger Unterstützung von Arthur Atlas, unserem KI-Analysten. Er prüft Bewertungen nach und markiert veraltete Angaben, sobald sich der Markt dreht. Unsere Angaben stammen überwiegend aus öffentlich zugänglichen Quellen wie Anbieter-Website, Doku und Preislisten. Preise und Funktionen können sich ändern.

Hinweis: Diese Angaben können veraltet oder fehlerhaft sein. Prüfe im Zweifel immer direkt auf der Website des Anbieters.

Preise geändert, Feature veraltet oder etwas fehlt?

Wir freuen uns über Hinweise und Ergänzungen.

Feedback geben

Du arbeitest bei Sonar (SonarSource SA)?

Gib uns einen Testzugang, dann schauen wir tiefer rein und ergänzen die Bewertung aus erster Hand.

Testzugang anbieten

Nicht sicher, ob SonarQube zu euch passt?

Wir helfen bei der Tool-Auswahl und begleiten die Einführung in euren Arbeitsalltag, unverbindlich und kostenlos im Erstgespräch.

Erstgespräch anfragen

KI-Tools und Trends

KI-Wochenbriefing: jeden Freitag KI-News, Praxistipps und Tools

Kostenlos abonnieren, jederzeit abmeldbar, kein Spam.

Kostenloser Newsletter

Bleib auf dem neuesten
Stand der KI

Wähle deine Themen und erhalte relevante KI-News, Praxistipps und exklusive Inhalte direkt in dein Postfach – kein Spam, jederzeit abmeldbar.

Was interessiert dich? Wähle 1–4 Themen, du bekommst nur Inhalte dazu.

Mit der Anmeldung stimmst du unserer Datenschutzerklärung zu. Jederzeit abmeldbar.

Kostenlos
Kein Spam
Jederzeit abmeldbar