安全公告：SonarQube Scanner GitHub 操作

由ganncamp于2025年8月30日发布

2025年9月25日更新：请阅读这篇后续帖子：

大家好，

我们在SonarQube Scanner GitHub Action中发现了一个安全漏洞，并且已经发布了一个补丁来修复它。

您需要做什么

请将您的SonarQube Scanner GitHub Action更新到v5.3.1。这个新版本适用于云版和服务器版客户，包含了一个有助于保护您工作流程的安全修复。如果您的流程使用了动态计算的参数，您还需要切换到使用GitHub Actions中支持的表达式语法。

如果您的流程引用了 sonarqube-scan-action@v5，它将自动使用已打补丁的版本，无需进一步操作。

更新（2025年9月2日）：

请在此处查看最新信息：

评论：mskfrc

发布于2025年8月30日

Azure DevOps的SonarQube Cloud扩展是否也受此漏洞影响？如果是，AzDO用户应该升级到哪个版本？

谢谢！

评论：CTOUsingEclipse

发布于2025年8月30日

这个漏洞是否仅限于GitHub Action，因此我们使用Maven扫描器的扫描不受影响？

回复：ganncamp

发布于2025年8月30日

大家好，

这仅涉及GitHub Action。您使用的任何其他SonarScanner均不受影响。虽然我们通常建议您尽量使用最新版本的扫描器，但目前没有已知的安全影响会波及任何其他扫描器。

希望对你有帮助， Ann