SonarQube 离岸 VPS - 代码质量与安全扫描

云端 SonarCloud 等服务虽然提供便利的扫描入口，但所有源代码片段、漏洞详情和提交者身份都会进入第三方数据中心，对涉及商业机密、密码学实现或安全审计取证的项目是不可接受的。将 SonarQube 自托管在离岸 VPS 上后，所有扫描数据存储于你独占的 PostgreSQL 实例中，并可通过磁盘级加密、防火墙白名单与 WireGuard 隧道限制访问。Anubiz Host 的冰岛、罗马尼亚节点提供低延迟、无审查的网络环境，让全球团队都能稳定接入扫描门户。

对于运行 5 至 20 个项目的团队，推荐使用 4 vCPU、8 GB 内存的 VPS 部署 SonarQube Community 版本，并将 PostgreSQL 独立部署在另一台离岸 VPS 上以方便备份与升级。如果代码库超过 50 个，可考虑升级到 Developer 或 Enterprise 版本，并通过 Elasticsearch 集群拆分扫描负载。建议把扫描 Token 存储在 Vault 或 HashiCorp Consul 中，并通过 CI Runner 的临时凭据机制注入到流水线，避免长期密钥泄露。

集成 SonarQube 时，建议在每个 Pull Request 阶段触发增量扫描，并将质量门禁结果作为合并条件之一。通过 Webhook 把扫描结果转发到自托管的 Mattermost 或 Rocket.Chat，可以让 DevSecOps 团队在不依赖外部聊天平台的情况下完成事件响应。备份策略上，需要每日导出 PostgreSQL 数据库并用 restic 加密推送到第二节点，结合每周一次的恢复演练，确保即使遭遇法律压力或硬件故障也能在最短时间内重建扫描历史与合规证据。