Was SonarQube gut macht
- • Fokus technische Schuld — historische Qualitätsmessung, Code Smells, Duplikate.
- • 30+ Sprachen in Sonars Flagship-Server-Edition.
- • Pull-Request-Dekoration in GitHub/GitLab/Bitbucket.
- • Quality Gates, um Deployments anhand von Metriken zu blockieren.
- • Große, aktive OSS-Community (SonarQube Community Edition ist kostenlos) und ein Engineering-Blog über Regel-Design und Analyzer-Internas.
Wo sich die Wahl unterscheidet
| StaticCodeAudit | SonarQube selbst-gehostet | SonarCloud | |
|---|---|---|---|
| Deployment | Einzelnes Binary, kein Server | Server + DB bereitstellen & warten | SaaS |
| Quellcode hochgeladen? | Nein | Nein (on-prem) | Ja |
| Hauptfokus | Sicherheit + Compliance | Technische Schuld + Qualität | Technische Schuld + Qualität |
| Compliance-Matrizen | CWE, WCAG, ISO 27001, ASVS, NIST CSF — integriert | Begrenzt | Begrenzt |
| Preise | 990 € → 30 K€+/Jahr (Pauschale) | CE kostenlos; Developer/Enterprise pro LOC | Pro LOC + pro privatem Projekt |
| Wartungsaufwand | Keiner (einzelne CLI) | DBA + Ops-Ingenieur | Keiner (SaaS) |
| Self-contained HTML-Bericht | Ja — eine einzelne .html-Datei | Nein (Web-UI) | Nein (Web-UI) |
| SARIF-Export | Ja (integriert) | Ja | Ja |
Vergleich basiert auf dem von jedem Anbieter veröffentlichten Deployment-Modell und Preisen Stand Mai 2026. Preisquelle SonarQube/SonarCloud: sonarsource.com/plans-and-pricing.
Sie sind nicht immer Substitute
Die Stärke von SonarQube liegt in technischer Schuld und Qualitätsmetriken über die Zeit — Code Smells, Duplikate, kognitive Komplexität. Die Stärke von StaticCodeAudit sind Sicherheits-Findings und Compliance-Reporting — CWE-Nachvollziehbarkeit, ISO/ASVS-Matrizen, DSGVO-Erkennung, OWASP CI/CD.
Viele Teams nutzen beide: SonarQube für die Quality Gates des Entwicklerteams, StaticCodeAudit für den Audit-Ordner. Es ist kein 1:1-Ersatz.
Wählen Sie StaticCodeAudit, wenn…
- ✅ Sie keinen SonarQube-Server betreiben möchten (DB, JVM, Upgrades, Skalierung).
- ✅ Ihre Priorität Sicherheits- und Compliance-Reporting ist, nicht technische Schuld.
- ✅ Sie einen self-contained HTML-Bericht für ein Audit, einen Investor, einen Regulator brauchen.
- ✅ Sie eine vorhersehbare Pauschalpreis-Tarifierung unabhängig vom LOC-Wachstum wünschen.
Die Architektur in einem Satz je Tool
StaticCodeAudit
Eine einzige Binary, vom Terminal aus gestartet. Kein Server zu deployen, keine Datenbank zu sichern, keine JVM zu aktualisieren. Sie legen die Binary in ein Verzeichnis, starten sie, erhalten einen HTML-Bericht. Geeignet für einen Air-Gapped-Laptop oder einen CI-Runner mit gecachter Binary.
SonarQube
Ein Server, den Sie selbst hosten: Java-Anwendung + PostgreSQL-Datenbank (oder MySQL/SQL Server). Code-Analyzer (sonar-scanner) pushen Ergebnisse an den Server. Eine Web-UI zeigt Projekte, Quality Gates, Verlauf. Der Betrieb umfasst Backups, JVM-Tuning, Versions-Migrationen, DB-Skalierung für große Organisationen. SonarCloud ist die SaaS-Variante (von SonarSource verwaltet).
SonarQubes tiefere Funktionen (Quality Gates, Baseline-Diff, PR-Decoration, Projekt-Dashboards) kommen daher, dass es ein langlaufender Server mit einer DB ist. StaticCodeAudit liefert bewusst null Server — der Kompromiss: weniger Team-Level-Funktionen im Tausch gegen keine Infrastruktur-Last.
Konkrete Preisszenarien (jährlich)
SonarQube Community Edition ist kostenlos, aber selbst gehostet (Sie zahlen Server, DB, Ops). Die Editionen Developer/Enterprise/Data Center sind kommerziell, nach analysierten Codezeilen tarifiert (in Bändern). SonarCloud ist SaaS pro Entwickler. StaticCodeAudit ist eine jährliche Pauschale pro Kapazitäts-Tier — keine Infra-Kosten, keine LOC-Zählung im eigentlichen Sinn.
| Scenario | StaticCodeAudit | SonarQube |
|---|---|---|
| Solo / Freelance 1 Entwickler, ~50 K SLOC |
990 €/Jahr, null Infra | SonarQube CE kostenlos + selbst gehosteter Server (kleiner VPS ~5-10 €/Mon) oder SonarCloud kostenlos für öffentliche Repos |
| Startup / kleines Team 10 Entwickler, ~500 K SLOC |
3 990 €/Jahr, null Infra | SonarQube Developer Ed. ab etwa 150 €/Jahr/100-K-LOC-Band (≈ 1 500 €/Jahr für 1 M LOC) + Server + Ops |
| Mittelstand / reguliert 30 Entwickler, ~2 M SLOC |
11 990 €/Jahr, null Infra | SonarQube Enterprise Ed. ab etwa 20 000 €/Jahr für 2-M-LOC-Band + Produktions-Server + DBA-Budget |
Quelle SonarQube-Editionen und gestaffelte Preise: sonarsource.com/plans-and-pricing. Server-/Infra-Kosten sind zusätzlich und hängen von Ihrer Hosting-Wahl ab. StaticCodeAudit braucht keinen Server.
Häufige Fragen
Kann ich SonarQube ohne Datenbank-Server betreiben?
Nein. Jede SonarQube-Edition (Community bis Data Center) benötigt eine relationale Datenbank (PostgreSQL empfohlen). Die standardmäßige H2-Datenbank ist als reine Evaluation dokumentiert, nicht Produktion. Daher beinhaltet « selbst gehostetes SonarQube » immer Server + DB für den Betrieb. StaticCodeAudit hingegen läuft als CLI nur mit Datei-I/O — nirgendwo eine DB.
Deckt StaticCodeAudit denselben Issue-Bereich ab wie SonarQube?
Teilweise Überlappung. SonarQube deckt Code-Qualität (Code Smells, Duplikate, Wartbarkeit) und Security ab. StaticCodeAudit ist Security-fokussiert (8 Kategorien: security, code quality, architecture, maintenance, dependencies, CI/CD, database, accessibility) mit expliziter Compliance-Metadaten. Wenn Ihr Hauptbedarf « Clean-Code-Metriken + Tech-Debt-Tracking » ist, hat SonarQube dort mehr. Wenn Ihr Hauptbedarf « Security-Findings audit-ready » ist, ist StaticCodeAudit direkter.
Was ist mit Quality Gates und PR-Decoration?
SonarQubes Quality Gates (konfigurierbare Schwellenwerte, die PRs blockieren) und Pull-Request-Decoration sind serverseitige Funktionen, die in mittleren/großen Eng.-Organisationen geschätzt werden. StaticCodeAudit liefert Schwellenwerte in audit.config.json (thresholds.max_high, thresholds.min_health), die ein CI-Job lesen kann, um einen Build fehlschlagen zu lassen — ohne Server — aber die visuelle Integration in PR-Seiten ist nicht nativ.
Wie geht jedes mit Multi-Sprach-Repos um?
Beide scannen mehrere Sprachen in einem Aufruf. SonarQube deckt 30+ Sprachen ab, StaticCodeAudit deckt 8 ab (Python, JavaScript/TypeScript, HTML, Java, C#, PHP, YAML, Dockerfile). Wenn Sie Go, Rust, Ruby, Kotlin oder Swift haben, hat SonarQube heute die Abdeckung.
Kann StaticCodeAudit SonarQube ersetzen?
Hängt davon ab, wofür Sie SonarQube nutzen. Wenn hauptsächlich für « Security-Findings + Audit-Nachweise », kann StaticCodeAudit es mit viel niedrigeren Ops-Kosten ersetzen. Wenn für « Eng.-Dashboards, Projektmetriken, Tech-Debt-Management über Jahre », bleibt SonarQube die breitere Plattform. Viele Teams nutzen StaticCodeAudit pre-commit / pro Release für Security + Audit und behalten SonarQube für Eng.-Metriken.
Testen Sie den Bericht auf Ihrem eigenen Laptop
Kein Server zum Bereitstellen, keine DB zum Migrieren. Binary herunterladen, einen Befehl ausführen, HTML erhalten.
Live-Bericht öffnen Geführte Demo buchen