La versión 2026.1 LTA de SonarQube Server marca un punto de inflexión en la forma en la que se desarrolla software en un contexto cada vez más dominado por la IA. Esta LTA unifica en una única capa de verificación de alto rendimiento, el análisis del código escrito por personas, el generado por IA y procedente de terceros, integrándose de forma natural en el flujo de trabajo moderno del desarrollador. Un enfoque especialmente relevante para organizaciones que buscan escalar su velocidad de entrega sin renunciar al control.
Desde excentia, como Gold Partner de Sonar, vemos en esta versión una evolución clave para las empresas que necesitan reforzar la seguridad de su cadena de suministro, ampliar el cumplimiento normativo de sistemas críticos y acelerar el análisis de código en lenguajes como Python, Java y JavaScript/TypeScript, todo ello sin comprometer la calidad ni la mantenibilidad del software. Aqui, te contamos todas las novedades para que estés al día.
Los asistentes de programación con IA y los agentes son herramientas muy potentes, pero su salida necesita una capa de verificación que evite la introducción de nuevos riesgos de calidad o seguridad en el código. Para ello, Sonar ha ido añadiendo nuevas funcionalidades y soluciones para ayudar a los desarrolladores a trabajar con código generado por IA.
Integraciones con IDE: SonarQube ahora funciona con Claude Code, Cursor, Windsurf y Gemini, resolviendo el cuello de botella de la verificación al llevar una inteligencia de código directamente al flujo de trabajo del desarrollador.
Servidor SonarQube MCP: Los agentes de IA ahora pueden consultar tu instancia de SonarQube Server para obtener información sobre calidad y seguridad del código y garantizar que el código generado por IA esté listo para producción. Aquí te dejamos el artículo que escribimos sobre este lanzamiento.
AI CodeFix (BYO LLM): Aprovecha la potencia de tu propio servicio de Azure OpenAI para generar sugerencias de corrección con IA. Este enfoque garantiza que tu código fuente permanezca dentro de tu entorno privado y seguro, cumpliendo los requisitos más estrictos de privacidad de datos y propiedad intelectual.
AI CodeFix en el IDE: Pasa de la detección a la corrección de forma inmediata. Las sugerencias de corrección generadas por IA ahora están disponibles directamente en VS Code e IntelliJ, lo que permite a los desarrolladores resolver problemas de calidad y seguridad del código con un solo clic desde tu entorno de trabajo principal.
SonarQube ofrece un análisis profundo y contextual que identifica cómo fluyen los datos a través de una aplicación, descubriendo vulnerabilidades de seguridad que otras herramientas no detectan.
Protección avanzada de la cadena de suministro
La cadena de suministro de software es la nueva frontera de los ciberataques. SonarQube ofrece ahora un conjunto completo de herramientas de análisis estático para proteger todas las dependencias.
Seguridad avanzada (SCA y SBOM): Protege de forma proactiva tu cadena de suministro con análisis de composición de software (SCA) y detección de vulnerabilidades mediante SBOM. Ahora está disponible para una amplia gama de lenguajes, incluidos Java, Python, C#, C, C++, JavaScript, TypeScript, Go, Rust, Ruby y PHP.
Detección de paquetes maliciosos: Protege a tu organización frente a ataques sofisticados a la cadena de suministro. La capacidad SCA de SonarQube Advanced Security ahora genera alertas de nivel bloqueante cuando detecta paquetes open source maliciosos a partir del conjunto de datos de la OSSF, evitando la filtración de secretos y las brechas de datos antes de que afecten a tu entorno. (Novedad en la versión 2026.1, disponible en Advanced Security)
Disponibilidad general de SCA para C/C++: Sonar amplía sus capacidades avanzadas de SCA a proyectos C y C++, lo que permite a los equipos que trabajan en entornos críticos de rendimiento gestionar los riesgos de dependencias con el mismo rigor que otros stacks modernos. Los desarrolladores que usan Conan y vcpkg reciben ahora feedback automático sobre el riesgo de dependencias. (Disponible de forma general en la versión 2026.1, en Advanced Security)
SCA en el IDE: Elimina el cambio de contexto llevando la visibilidad del riesgo de dependencias directamente al desarrollador. La información de vulnerabilidades y licencias de paquetes open source ahora es visible en Visual Studio, IntelliJ y VS Code, lo que permite corregir problemas mientras se escribe el código. (Disponible en Advanced Security)
Importación de SBOM (beta): Importa SBOM CycloneDX y SPDX para informar de vulnerabilidades en aplicaciones, contenedores y C/C++. Esto proporciona una cobertura universal de dependencias y visibilidad sobre vulnerabilidades en contenedores y componentes de terceros que antes eran opacos. (Disponible en Advanced Security)
Seguridad profunda de aplicaciones (SAST)
SAST avanzado renovado: Java y C# se han actualizado para las 1.000 bibliotecas públicas principales de cada lenguaje y Python para las 100 bibliotecas principales. Esto garantiza que los hallazgos de seguridad sean relevantes y precisos, basados en las bibliotecas que realmente usan la mayoría de los equipos. (Novedad en la versión 2026.1, disponible en Advanced Security)
Cobertura de seguridad ampliada por lenguaje: Sonar incorpora SAST completo con taint analysis para Go y Kotlin. Además VB.NET. Swift y Dart también cuentan ahora con cobertura SAST para que los desarrolladores móviles puedan identificar vulnerabilidades complejas de flujo de datos.
Seguridad de pipelines e infraestructura: Refuerza tus entornos de CI/CD con nuevos análisis para GitHub Actions y scripts Bash/Shell. Identifica configuraciones incorrectas, permisos de archivo inseguros y comandos peligrosos en archivos .sh para garantizar que tus pipelines de entrega sean tan seguros como el código de tu aplicación.
Detección de secretos: Con más de 450 patrones de secretos distintos y soporte para más de 60 aplicaciones cloud, Sonar ofrece una protección líder frente a fugas de credenciales. Esta cobertura se amplía ahora a archivos YAML, JSON y CLI.
Elimina los problemas que provocan errores y deuda técnica y aumenta la productividad de los desarrolladores. La versión 2026.1 incluye motores más inteligentes que entienden la intención y la estructura de tu código.
Optimizaciones específicas por lenguaje
Python: Maximiza el rendimiento y la legibilidad detectando problemas en comprensiones y optimización de funciones AWS Lambda. El análisis paralelizado ofrece ahora un enorme aumento de velocidad en las revisiones automáticas de Python, reduciendo de forma significativa los ciclos de feedback.
Java: Nuestro motor avanzado de detección de errores por flujo de datos (DBD) ahora gestiona errores complejos, como referencias nulas y divisiones por cero, a través de múltiples llamadas a funciones. SonarQube detecta problemas que ayudan a evitar errores comunes y cuellos de botella de rendimiento en el framework Spring.
JS/TS: Un motor de taint analysis de nueva generación mejora tanto la precisión como la velocidad. Los desarrolladores se beneficiarán de la detección de problemas en Angular y en estándares de accesibilidad (a11y), junto con una mejora de hasta el 40% en la velocidad de análisis de proyectos grandes.
Kotlin: Hemos añadido soporte para el nuevo lenguaje Kotlin 2.0 y el compilador K2, con un aumento del 50% en la velocidad de análisis de Kotlin.
Corrección más rápida: Hemos lanzado más de 80 nuevos QuickFixes para reglas principales de JavaScript y TypeScript en SonarQube for IDE, que te ayudan a resolver problemas con un solo clic. Estas sugerencias automáticas permiten corregir incidencias en tiempo real mientras programas con SonarQube IDE. (Novedad en la versión 2026.1)
Para las organizaciones de sectores altamente regulados, las comprobaciones manuales de cumplimiento son un cuello de botella. SonarQube automatiza la recopilación de evidencias y proporciona informes para estándares globales de seguridad y protección.
Sistemas críticos para la seguridad
MISRA C++:2023: Sonar aplica las 179 directrices del estándar C++17, proporcionando las salvaguardas necesarias para software de automoción, aeroespacial y dispositivos médicos.
MISRA en el IDE: Adelanta el cumplimiento mostrando los resultados de detección de MISRA directamente en VS Code, Visual Studio e IntelliJ/CLion. Esto permite a los desarrolladores que trabajan con código de misión crítica detectar infracciones en tiempo real, mucho antes de que el código se integre.
Referencias modernas de seguridad
OWASP MASVS: Diseñado específicamente para desarrolladores móviles, evalúa el cumplimiento del estándar OWASP Mobile Application Security Verification Standard y garantiza que las aplicaciones móviles sean resistentes frente a amenazas modernas. (Novedad en la versión 2026.1, solo Enterprise/Data Center)
OWASP Top 10 para LLM: (Novedad en la versión 2026.1, solo Enterprise/Data Center) Protege tus aplicaciones impulsadas por IA con informes específicos sobre las 10 vulnerabilidades más críticas asociadas a los grandes modelos de lenguaje, incluida la inyección de prompts y la gestión insegura de salidas.
Estándares del sector actualizados: Mantén el cumplimiento con informes para CWE Top 25 2024, OWASP Mobile Top 10 y el estándar STIG V6R3.
WCAG: Convierte el cumplimiento de accesibilidad (a11y) de un cuello de botella tardío en detección temprana gracias a la cobertura de SonarQube de los estándares WCAG 2.1 AA y 2.2 AA. Las organizaciones pueden gestionar de forma proactiva el riesgo legal y crear productos inclusivos desde el inicio.
SonarQube sigue ampliando su alcance en lenguajes para que, a medida que evoluciona tu stack tecnológico, tu plataforma de inteligencia de código evolucione con él.
Soporte para Rust: Sonar incorpora análisis completo para Rust, incluida la integración nativa con el linter Clippy. Esto permite a los equipos aprovechar las ventajas de seguridad de memoria de Rust manteniendo los rigurosos estándares de calidad de SonarQube.
Últimas versiones de lenguajes: Se amplía la cobertura a Java 22/23/24, Dart 3.8, Swift 5.9–6.1 y Python 3.14.
Soporte completo para C# 14 y .NET 10: Adopta con seguridad los últimos avances del lenguaje, como la palabra clave field y las asignaciones condicionales nulas. Además, se han actualizado más de 300 reglas para eliminar falsos positivos y ofrecer información de código más útil. (Novedad en la versión 2026.1)
Garantía para IA/ML y ciencia de datos: Asegura la fiabilidad de tus pipelines de datos con soporte para PySpark y PyTorch. Ahora se puede analizar el código directamente dentro de Jupyter Notebooks en PyCharm.
Apex y Ruby on Rails: La cobertura mejorada para Salesforce a escala empresarial (Apex) y aplicaciones web (Ruby on Rails) garantiza una amplia cobertura en toda la organización.
Más lenguajes nuevos: En el último año Sonar ha añadido soporte para YAML, Bash/Shell, JSON y GitHub Actions, para ayudarte a sacar el máximo partido a tu código a lo largo de todo el pipeline de CI/CD.
Los equipos de ingeniería de plataforma necesitan herramientas que estén donde trabajan los desarrolladores. Elimina acciones manuales de copia y pega o scripts personalizados para enviar actualizaciones a las herramientas de uso habitual.
JFrog: Optimiza la trazabilidad de auditoría de tus paquetes de software enviando automáticamente a JFrog las evidencias de calidad y seguridad de SonarQube. Esto crea una única fuente de verdad para la certificación de software y elimina interrupciones en el pipeline de entrega causadas por auditorías. (Novedad en la versión 2026.1, solo Enterprise/Data Center)
Slack: Mantente alineado con notificaciones en tiempo real sobre el estado de los quality gates, enviadas directamente a los canales de Slack de tu equipo.
Infraestructura empresarial: Ejecuta SonarQube Server en entornos solo IPv6 para dar soporte a cargas de trabajo masivas en contenedores y serverless.
Noticias de producto en la aplicación: Mantén a tus equipos informados con noticias del producto y alertas de actualización mostradas directamente en la interfaz de SonarQube Server.
Actualizaciones sin fricciones (Sandbox): Realiza actualizaciones de versión de SonarQube Server sin el temor de que cambie el estado de tus quality gates. Los nuevos issues detectados en código existente durante una actualización, debido a cambios en las reglas, se aíslan automáticamente en un «sandbox», evitando que afecten de inmediato a tus quality gates durante el proceso.
¡Atención! Configurar el sandbox es un nuevo paso clave durante la actualización a la versión 2026.1 LTA. Si deseas utilizar la funcionalidad de sandbox, un administrador debe habilitarla antes de realizar el primer análisis posterior a la actualización. Esto garantizará que tus quality gates no se vean afectados por los cambios de reglas durante la actualización.
Este artículo es una traducción del original publicado en el blog de Sonar.
Si tienes dudas sobre cómo actualizar puedes ponerte en contacto con el equipo a través de este enlace.