Die Pflege des Quellcodes ist eine der größten Herausforderungen für Softwareentwickler. In einem 2020 Umfrage von Sourcegraph gaben 51 % der Entwickler an, dass sie mehr als das 100-fache des Codevolumens haben, das sie vor zehn Jahren hatten, während 92 % sagen, dass der Druck, Software schneller zu veröffentlichen, gestiegen ist. Die wachsende Verantwortung kann dazu führen, dass Code von schlechter Qualität in Produktionsumgebungen gelangt, was die Kosten erhöht. Ein Bericht Schätzungen die Auswirkungen fehlerhafter Software auf 2,84 Billionen US-Dollar pro Jahr.
Im Laufe der Jahre sind Produkte entstanden, um das Problem der Codewartung anzugehen, einschließlich des Cloud-basierten Code-Qualitätsmanagementdienstes SonarSource. SonarSourcedessen Technologie Zuverlässigkeits- und Schwachstellenprobleme im Code erkennt, gab heute bekannt, dass es 412 Millionen US-Dollar in einer von Advent International und General Catalyst gemeinsam geleiteten Finanzierungsrunde mit einem Wert von 4,7 Milliarden US-Dollar gesammelt hat.
„Organisationen aus allen Branchen haben seit langem verstanden, dass Software für die Führung ihrer Geschäfte von entscheidender Bedeutung ist. Vor kurzem haben sie begonnen zu erkennen und zu erkennen, dass der Quellcode die Schlüsselkomponente ihrer Software ist – der Quellcode bestimmt, wie sich die Software verhält und auch wie sie funktioniert – und als solcher gut gepflegt werden muss“, sagte Olivier Gaudin, CEO von SonarSource, per E-Mail gegenüber Tech. „Mit SonarSource können Unternehmen die Qualität ihres Quellcodes verbessern.“
Probleme im Quellcode erkennen
Gaudin sagt, er habe SonarSource ins Leben gerufen, um Entwicklern die Möglichkeit zu geben, Best Practices für die Codequalität zu verwalten, die theoretisch helfen könnten, problematischen Code zu beheben. Es ist ein akutes Problem. Ein alarmierendes Prüfbericht von Veracode und der Enterprise Strategy Group fanden heraus, dass fast die Hälfte der Unternehmen wissentlich anfälligen Code ausliefern, obwohl sie Cybersicherheitstools verwenden, oft um Veröffentlichungsfristen einzuhalten. Ein separates Umfrage von Veracode schlägt vor, dass die Mehrheit der Softwarebibliotheksfehler – 92 % – durch ein Update behoben werden können, aber dass Entwickler in 79 % der Fälle Bibliotheken nie aktualisieren, nachdem sie zu einer Codebasis hinzugefügt wurden, aus Angst, die Funktionalität zu beeinträchtigen.
Gaudin hat einen Hintergrund in der Finanzbranche, nachdem er bei JP Morgan als Entwickler und bei der Deutschen Bank als Software-Teamleiter gearbeitet hatte, bevor er SonarSource mitbegründete. Freddy Mallet, der zweite Mitbegründer von SonarSource, war Projektarchitekt bei E-Trade und CTO beim Agtech-Startup Hortis. Der dritte Mitbegründer Simon Brandhof arbeitete ebenfalls bei Hortis und war leitender Entwickler bei der Online-Handelsplattform CPR Online.
Eines der Codeanalyse-Dashboards in SonarQube.
„SonarSource wurde entwickelt, um der letztendlichen Erkenntnis des Marktes Rechnung zu tragen, dass Software – und ihr Quellcode – die Grundlage des Geschäfts ist und als solche verwaltet werden muss“, sagte Gaudin. „Von Anfang an war es die Mission von SonarSource, jeden einzelnen Entwickler – und damit jede Organisation – in die Lage zu versetzen, Software richtig zu entwickeln.“
SonarSource wurde 2008 gegründet und eines der ersten Produkte war das Open-Source-Programm SonarQube. Entwickelt, um eine statische Codeanalyse durchzuführen – dh Debugging durch Untersuchen des Codes eines Programms, ohne das Programm tatsächlich auszuführen – bettet SonarQube sauberen Code in den Entwicklungsprozess ein und unterstützt Programmiersprachen wie Python, Java, C# und JavaScript.
Im Jahr 2010 erreichte das Open-Source-Projekt von SonarSource einen Meilenstein von über 2.000 Downloads pro Monat. Das Startup wollte von seinem Erfolg mit View, einem kommerziellen Plugin für das Projektportfoliomanagement, profitieren. Nach der Veröffentlichung weiterer Plugins und Software, darunter SonarCloud (das Open-Source-Projekte analysiert) und SonarLint (eine integrierte Entwicklerumgebungserweiterung für statische Analysen), erweiterte SonarSource den Umfang seiner Analysatoren, um Standards abzudecken, die Wartbarkeit, Zuverlässigkeit und Sicherheit umfassen.
„Viele Konkurrenten konzentrieren sich auf nur einen Teil der Bereitstellung von sauberem Code, beispielsweise den Sicherheitsaspekt. Das ist ein Versprechen an eine Risiko- oder Compliance-Abteilung“, sagte Gaudin. „SonarSource verfolgt einen anderen Ansatz – wir werden dem Engineering-Team dabei helfen, Code besser zu liefern und die Zeit zu investieren, die sie damit verbringen, neuen Code zu schreiben, anstatt alten Code zu debuggen. Wir bieten eine Lösung, die es diesen Abteilungen ermöglicht, ihr Spiel zu verbessern und besseren Code zu liefern. Es wird mehr Zeit für Innovationen und die Lösung schwieriger Probleme für die Organisation aufgewendet.“
Beschleunigender Schwung
SonarSource konkurriert mit einer Reihe von Unternehmen auf dem Markt für Software zur statischen Codeanalyse, von dem ein Unternehmen prognostiziert, dass es bis Ende 2026 einen Wert von 1,74 Milliarden US-Dollar haben könnte (gegenüber 643 Millionen US-Dollar im Jahr 2022). Beispielsweise konzentrieren sich R2C und DeepSource auf die Codeanalyse für Sicherheit und Leistung, während ShiftLeft versucht, alle gefundenen Code-Schwachstellen automatisch zu patchen.
Alle statischen Codeanalyseprodukte haben Nachteile. Sie können nicht jede Programmiersprache unterstützen, erzeugen manchmal falsch positive und negative Ergebnisse und können ein falsches Sicherheitsgefühl vermitteln. Sie sind schließlich nur so gut wie die Regeln, nach denen sie scannen – weshalb sie in absehbarer Zeit Qualitätssicherungsteams wahrscheinlich nicht ersetzen werden.
SonarSource behauptet nicht, diese überwunden zu haben. Soweit vorhanden, liegen die Vorteile des Unternehmens in einem Vorsprung und einer starken Zugkraft in der Branche. SonarSource hat seinen gewerblichen Kundenstamm in den letzten vier Jahren um mehr als 2.000 % auf mehr als 16.000 Organisationen ausgebaut. Über 300.000 Organisationen, darunter 80 Fortune-100-Unternehmen, verwenden inzwischen eine Mischung aus kommerziellen und kostenlosen Produkten des Unternehmens.
Bildnachweis: SonarSource
Das Bruttomargenprofil von SonarSource liegt bei über 90 % und die jährlich wiederkehrenden Einnahmen belaufen sich auf 175 Millionen US-Dollar, die das Unternehmen für dieses Jahr auf 240 Millionen US-Dollar prognostiziert. Laut Gaudin plant SonarSource, seine Mitarbeiterzahl von 290 auf „nördlich 400“ zu erhöhen, um dieses Ziel zu erreichen.
„SonarSource wird verwenden [the latest] Investitionen zur Verdoppelung des Verkaufspersonals im Jahr 2022 und zur Erweiterung des Marketingteams in bestehenden Büros in Genf, Schweiz; Annecy, Frankreich; Bochum, Deutschland und Austin, Texas … Darüber hinaus wird SonarSource einen neuen regionalen Hauptsitz in Singapur eröffnen, der es dem Unternehmen ermöglicht, sein Geschäft auf dem aufstrebenden asiatisch-pazifischen Markt auszubauen“, fügte Gaudin hinzu. „Viele Konkurrenten konzentrieren sich auf nur einen Teil der Bereitstellung von sauberem Code, beispielsweise den Sicherheitsaspekt. Das ist ein Versprechen an eine Risiko- oder Compliance-Abteilung. SonarSource verfolgt einen anderen Ansatz – wir werden dem Engineering-Team dabei helfen, Code besser zu liefern und die Zeit zu investieren, die sie damit verbringen, neuen Code zu schreiben, anstatt alten Code zu debuggen.“
Auch Insight Partners und Permira beteiligten sich an der jüngsten Finanzierungsrunde von SonarSource.