SonarQube 是一款开源的代码质量管理系统，提供软件代码审计功能。SonarQube 默认配置下, 未对其 API 接口进行任何访问控制，导致可不经认证通过互联网下载该系统审计过的程序源代码。另外，该系统默认管理员凭据是弱口令，如未更改，极易被利用来直接登录获得该系统审计过的源代码。

目前已有攻击者利用相关漏洞窃取源码的事件发生，许多开发者也很关心集成了 SonarQube 服务的 Gitee 是否也存在安全风险，在此 Gitee 官方也向广大开发者给出明确的答复：

「Gitee 并不受 SonarQube 的漏洞影响，请大家放心使用。」

首先，Gitee 的 SonarQube 服务进行了访问控制的配置，「访问 API 必须要携带认证 Token」，并且管理员账号的口令符合一定的密码复杂度。

其次，Gitee 的 SonarQube 服务只允许内网服务间的访问，「通过严格端到端的仓库验证确保返回信息的一致性」，并且在网络层面做了严格的防火墙访问控制。

「安全与稳定」始终是 Gitee 向广大开发者提供服务的重要前提，也是 Gitee 团队放在首位的服务目标。

为了保证服务的安全性与稳定性，Gitee 在对内对外均有严格的安全规范及标准操作流程，保证了上线八年期间「代码零丢失」，点击后面的链接查看 Gitee 的安全策略：

>>>Gitee 如何?；つ愕氖?—— 系统和网络篇

>>>Gitee 如何?；つ愕氖?—— 内部安全治理篇