Share
Embed
Slide 1
Slide 1 text
Confidential - ©2026, SonarSource Sàrl
Confidential - ©2026, SonarSource Sàrl
「静的解析」だけで終わらせない。
SonarQube の最新機能 × AIで
エンジニアの開発⽣産性を本気で上げる⽅法
施 文翰 2026. 2. 20
1
Slide 2
Slide 2 text
Confidential - ©2025, SonarSource SA
私のAI Codingの話
2
Slide 3
Slide 3 text
Confidential - ©2026, SonarSource Sàrl
AI Coding - Vibe だけでは足りない
3
生成コードへの検証Verifyが必要
● セキュリティ
● 可用性
● 保守性
● OSSライブラリ
● OSSライセンス
● …etc
Slide 4
Slide 4 text
Confidential - ©2026, SonarSource Sàrl
検証のスピードが足りない
4
AIによりコードを生成スピー
ドが加速された
AI生成コードは、セキュリティ、品
質、保守性について エンジニアに
よる検証が必要
このギャップは生産性
を制限。しかもAIによる
リスクが増大
Google のような大手企業は現在、AI コー
ディング ツールによる生産性向上はわず
か 10% であると報告
Source: Lex Friedman podcast interview
with Sundar Pichai of Google and Alphabet
June 5, 2025
Slide 5
Slide 5 text
Confidential - ©2026, SonarSource Sàrl
AI Agentによる検証の不足性
5
● 判定根拠:ブラックボックス、確率論
● 再現性:学習データとプロンプトにより回
答が揺れる
● 客観性:セルフレビューの限界、⽣成側と
同じバイアスを持つ
● コスト:外部AI モデルを利⽤する場合、検
証毎にTokenが消費され、コストが増加
GitClearの調査(2025年)では、同じAIによるセル
フレビューを⾏うと、コードの重複が8倍増え、脆
弱性が約38%増加するの報告
https://www.gitclear.com/ai_assistant_code_quality_2025_research
Slide 6
Slide 6 text
Confidential - ©2026, SonarSource Sàrl
SonarQubeを活用してAI Codingを検証
● 判定根拠:ホワイトボックス‧決定論的
○ 7K+ルールベース
○ どのルールのどの箇所に違反したかが明確
● 再現性:100%の同⼀性
○ 何度実⾏しても常に同じ箇所を指摘
● 客観性:独⽴した検証レイヤー
○ 組織全体で共通の「品質閾値」を適⽤で
き、個々のエージェントの癖に寄らない
● コスト:OSS‧検証回数無制限
6
Slide 7
Slide 7 text
7
z
IDEs
JetBrains
VS Code
35+ Languages and Frameworks
Java JavaScript PHP Python
Spring React Laravel Django
DevOps
GitLab
GitHub
BitBucket
Azure
Travis CI Jenkins
Circle CI
Google Cloud
AWS Microsoft
Marketplaces
Expand Your Value With: Premium support | Advanced Security | …and more to come
Cloud
Free | Team | Enterprise
Server
Community Build | Developer | Enterprise | Data Center
SonarQube for IDE
OUR SOLUTION
Windsurf
Cursor
CodeCatalyst
Slide 8
Slide 8 text
8
SonarQubeを使って検証を加速させよ!
コードセキュリティ
生成コードと参照OSSライブラ
リの両方を分析し、
バグや脆弱性を検出
コード品質
可用性・保守性・重複度
テストカバレッジなどの
観点から改善を提案
Quality Gate
品質基準未達のコードを、マー
ジ前に自動で遮断
解析結果・ SBOM出力
構成管理と品質状況を、自動
生成レポートで可視化
MCP Server
AIが解析データに直接アクセ
スし、文脈に沿って改善
AI Codefix ・Remediation
検知した問題をAIが自動修正
し、修正工数を激減
Slide 9
Slide 9 text
Confidential - ©2025, SonarSource SA
コードセキュリティ - SAST
9
全ソースコードを対象とした、脆弱性およびホットスポットの網羅的検知
Slide 10
Slide 10 text
Confidential - ©2025, SonarSource SA
コードセキュリティ - SAST
10
クロスファンクション・クロスファイル、およびフレームワークを考慮したデータフロー解析
Taint vulnerabilities
Cross-Site Scripting XSS
SQL Injection
Path Injection
Deserialization
Server-Side Request Forgery
XML Injection / XXE
XPath Injection
Argument Injection
Command Injection
Code Injection
Reflection Injection
Session Fixation
Zip Slip
Server-side Template Injection
NoSQL Injection
Open Redirect
Log Injection
RegEx Injection ReDoS
LDAP Injection
…
Slide 11
Slide 11 text
Confidential - ©2025, SonarSource SA
コード品質
11
ソースコードの潜在的リスクを特定し、技術的負債を減らす
Slide 12
Slide 12 text
Confidential - ©2025, SonarSource SA 12
SonarQube IDEで解析結果を確認
Slide 13
Slide 13 text
Confidential - ©2025, SonarSource SA 13
Security: (セキュリティ)不正アクセス、利⽤、破壊からのソフトウェア保護
Reliability: (信頼性)規定の条件下で、⼀定期間パフォーマンスを維持する能⼒
Maintainability: (保守性)コードの理解、修正、および改善のしやすさ
Hotspots: (ホットスポット)開発者による確認が必要な、セキュリティ上重要なコード箇所
Dependency Disk:
- サードパーティ製オープンソースに含まれる脆弱性
- 組織のライセンスポリシーに抵触する可能性のあるライブラリ
Coverage: (テストカバレッジ)テストケースによって網羅されているコードの割合
Duplications: (コードの重複度)ソースコード内における同⼀または類似したブロックの繰り返し
Slide 14
Slide 14 text
Confidential - ©2025, SonarSource SA
Quality Gate
14
品質基準を定義し、未達のコードをマージ前に自動で遮断し、レビュー工程の負荷を軽減
Slide 15
Slide 15 text
Confidential - ©2025, SonarSource SA
Quality Gate
15
● 複数定義のサポートにより、開発ス
タイルに合わせた個別設定が可能
● PR/MRへ判定結果を直接コメント
し、基準未達時のマージをブロック
● 新規コードの品質低下をマージ前に
確実に阻⽌
Slide 16
Slide 16 text
Confidential - ©2025, SonarSource SA
Quality Gate
16
● 複数定義のサポートにより、開発ス
タイルに合わせた個別設定が可能
● PR/MRへ判定結果を直接コメント
し、基準未達時のマージをブロック
● 新規コードの品質低下をマージ前に
確実に阻⽌
Slide 17
Slide 17 text
Confidential - ©2025, SonarSource SA
コードセキュリティ - SCA
ソフトウェア構成分析により依存関係の状況を理解し、リスクを発見
17
First-party code
Open source packages
Log4j
2.15.0
OSS License
不正利用検出
OSSライブラリ
脆弱性CVE検出
Slide 18
Slide 18 text
Confidential - ©2025, SonarSource SA
Issueの自動修正
18
AI CodeFix
● AIによる修正案の⾃動⽣成と提⽰
● 開発フローを⽌めないワンクリック
修正
● 脆弱性やコードスメル(Code
Smells)を即座に解消
● SonarQube IDEと連携可能
Slide 19
Slide 19 text
Confidential - ©2025, SonarSource SA
Issueの自動修正
19
AI CodeFix
● AIによる修正案の⾃動⽣成と提⽰
● 開発フローを⽌めないワンクリック
修正
● 脆弱性やコードスメル(Code
Smells)を即座に解消
● SonarQube IDEと連携可能
Slide 20
Slide 20 text
Confidential - ©2025, SonarSource SA
Issueの自動修正
20
Remediation Agent
● PRのQuolity Gate失敗時に⾃動起動
● 修正案の確認‧適⽤が容易
● セキュリティ、信頼性、保守性問題
を網羅
● GitHubとのシームレスな連携
Slide 21
Slide 21 text
Confidential - ©2025, SonarSource SA
SonarQube MCP Server
21
AIエージェントと
LLMはMCPサーバー
を介してSonarQube
のリソースにアクセ
スし、解析結果や関
連ルールなどのコン
テキストが取得可能
Slide 22
Slide 22 text
Confidential - ©2025, SonarSource SA
SonarQube MCP Server
22
検知された問題点に
該当するRuleを取得
問題点の場所が特定さ
れ
対応方法も入手可能
優先度で切り分けし、段
階的な修正を実現
● 公式解析ルールに基づく正確な
修正
● 修正範囲が特定され、周辺ロ
ジックを壊さず、問題箇所だけ
を修正
● PJ独⾃の品質基準(「Quality
Gate」や「Quality Profile」)
に遵守
Slide 23
Slide 23 text
Confidential - ©2025, SonarSource SA
Live Demo
23
Slide 24
Slide 24 text
Confidential - ©2025, SonarSource SA
Live Demo
24
Slide 25
Slide 25 text
Confidential - ©2025, SonarSource SA
Security Reports
25
業界標準への準拠証明や、ソフトウェア部品表( SBOM)、プロジェクト解析結果の CSVを出力
Slide 26
Slide 26 text
Confidential - ©2026, SonarSource Sàrl 26
Thanks!
Clean CodeとApplication Securityに関する世界規模のカンファ
レンス。AI駆動開発の未来や、Sonar製品の最新ロードマップを
いち早く発表。⽇本におけるお客様の事例と体験談もあります!
Japan Watching Party in Shinagawa
主要セッションを⽇本語で紹介 +ランチ&ドリンク
• 会場:株式会社クレスコ様 本社
(品川インターシティA棟 26階)
• 時間:3⽉3⽇(⽕曜⽇) 11:45 - 16:00
QRコードからアンケートに回答し、イベントへお申し込みください(抽選制)。
本⽇の資料と、イベント当⽇限定ノベルティをプレゼント!
Slide 27
Slide 27 text
Confidential - ©2026, SonarSource Sàrl 27
Thanks!
Slide 28
Slide 28 text
Confidential - ©2025, SonarSource SA
SonarQube MCP Server
28
Toolset Description
Analysis コード分析ツール
Issues SonarQubeの課題の検索と管理
Projects SonarQubeプロジェクトの閲覧と検索
Quality Gates Quality Gateとそのステータスへのアクセス
Rules SonarQubeルールの閲覧と検索
Sources ソースコードとSCM情報にアクセス
Measures 指標と測定基準を取得
Languages サポートされているプログラミング⾔語の⼀覧
Portfolios ポートフォリオとエンタープライズを管理
System システム管理ツール (SonarQube Server のみ)
Webhooks Webhookの検索と⽣成
Dependency
Risks 依存関係リスクの検索