SonarQube на офшорном VPS: статический анализ кода без передачи исходников

SonarCloud SaaS бесплатно для open-source, но платный для приватных репозиториев от $10/месяц/100 KLOC. Self-hosted SonarQube CE даёт:

• Исходный код остаётся у вас: SonarQube читает код локально на вашем VPS, не отправляет ничего наружу. Критично для команд с NDA или regulated industry.
• Никаких лимитов на проекты: Community Edition бесплатно поддерживает unlimited projects.
• Поддержка 30+ языков: Java, C#, JavaScript/TypeScript, Python, Go, Kotlin, Swift и другие в CE.
• Custom quality gate: вы определяете правила и пороги для каждого проекта, не зависите от дефолтов SaaS.
• Интеграция с self-hosted git: подключение к GitLab CE, Gitea, Forgejo на тех же офшорных VPS через webhook.
• Юрисдикция Исландии: исходный код проприетарного продукта хранится в стране вне FVEY/Nine Eyes, провайдер не передаёт данные регуляторам.

Self-hosted SonarQube требует начальной настройки, но взамен команда получает независимый и приватный анализатор качества кода без подписочной модели.

SonarQube написан на Java и использует Elasticsearch для индексирования. Минимальные требования официальной документации жёсткие:

• Минимум для тестового SonarQube: 4 vCPU, 8 ГБ RAM, 80 ГБ NVMe. План VPS L от $20/мес. Heap 2 ГБ для веб + 2 ГБ для CE.
• Production для команды 10-30: 6-8 vCPU, 16 ГБ RAM, 160 ГБ NVMe. План VPS XL от $35/мес. Heap 4 ГБ + 4 ГБ.
• Большая инсталляция, 100+ проектов: выделенный сервер от $90/мес с 32 ГБ RAM и быстрым NVMe.
• vm.max_map_count: обязательно sysctl vm.max_map_count=524288, иначе Elasticsearch падает на старте.
• PostgreSQL внешний: в production выносим БД на отдельный VPS, ускоряет SonarQube и упрощает backup.

Anubiz Host выделяет KVM VPS с гарантированным CPU и NVMe, что критично для скорости индексирования и поиска по issue. На медленных дисках Elasticsearch замедляется в 5-10 раз.

SonarQube хранит фрагменты исходного кода всех проанализированных проектов в БД. Компрометация SonarQube означает утечку всего кода команды. Базовый чеклист защиты на VPS Anubiz Host:

• HTTPS обязательно: Nginx или Caddy с Let's Encrypt перед SonarQube. Прямой доступ к 9000 закрыт iptables.
• Закрытая регистрация: в Administration - Security отключаем sign-up, пользователей создаём вручную или через LDAP/SAML.
• 2FA для admin: через SSO интеграцию с Keycloak.
• WireGuard для admin доступа: SonarQube UI только из закрытой VPN сети команды.
• Project token rotation: CI токены ротируем раз в квартал, удаляем неиспользуемые.
• RBAC per project: разные команды видят только свои проекты, не имеют доступа к чужому коду.
• Backup PostgreSQL с шифрованием: ежедневно через cron, gpg encryption, выгрузка на офшорное S3.
• Retention policy для analysis history: старые анализы удаляются автоматически, освобождая место и снижая риск утечки старых snapshot кода.

Anubiz Host не имеет доступа к данным внутри VPS клиента, не хранит логи API запросов и не отвечает на запросы иностранных регуляторов без MLAT через юрисдикцию Исландии. Оплата криптой и регистрация по email без KYC.