Sonar收购AI代码审查初创公司Gitar，强化代码质量治理

自动化代码质量与安全领域的重量级企业SonarSource Sàrl宣布，将收购专注于AI原生代码审查的初创公司Gitar Inc.。

据Sonar介绍，此次收购的核心计划是将Gitar的高级推理能力整合至其现有的代码验证引擎中，从而为日益依赖自主AI智能体处理繁琐任务的DevOps团队，提供更加全面的安全保障。

对于积极拥抱"氛围编程"（vibe coding）趋势以保持竞争力的企业而言，更完善的安全防护措施无疑是一大利好。随着AI编程工具的普及，人类程序员的角色逐渐转变为协调者与监督者——负责向AI模型下达指令并审核其输出结果。

然而，Cursor、Claude Code、Devin和GitHub Copilot等工具产出的AI生成代码量已远超许多团队的审查能力。这带来了不小的风险，因为这些模型仍然容易出现"幻觉"问题，可能导致代码中存在漏洞或错误，进而引发应用程序崩溃。

Gitar正是为解决上述问题而生。该公司由前Uber Technologies Inc.软件工程师Ali-Reza Adl-Tabatabai和Gautam Korlam联合创立，构建了一套专门面向AI代码的质量管控平台。与其他仅能标记错误的工具不同，Gitar更进一步，能够在拉取请求（Pull Request）中自动修复缺陷和持续集成故障。它就像一位主动出击的自动化代码审查员，在问题进入生产环境之前便将其一一纠正。

Gitar的技术与Sonar的核心产品高度契合。Sonar旗下的SonarQube是一款以"零信任"理念构建的代码验证平台，被超过75%的《财富》500强企业所采用，专门用于确保应用代码的整洁与安全。通过此次收购，Sonar将推动该平台从静态分析向智能体推理方向演进。

Sonar首席执行官Tariq Shaukat表示，企业正执着于寻找在不破坏现有系统的前提下提升软件产出的方法。他认为，随着氛围编程在大型企业中的全面普及，行业变革的时机已经到来，重心将转向更强的代码治理能力。DevOps团队面临的最大瓶颈，已不再是如何更快地编写新代码，而是如何确保这些代码值得信赖。

他承诺："我们将为企业提供一个统一平台，融合顶尖的AI代码审查能力与市场上最全面的验证引擎，无论您使用的是Claude Code、Cursor、Codex、Devin还是GitHub Copilot，都能获得最高级别的质量保证。"

Gitar首席执行官Adl-Tabatabai表示，公司刻意回避了打造自有编程机器人的诱惑，而是专注于代码验证这一更具挑战性的难题。他解释道："我们亲眼见证了开发速度超越代码质量时会发生什么，而AI的出现让这一问题的严重程度放大了数倍。"

Shaukat进一步介绍，一旦Gitar的技术与SonarQube完成整合，用户将能够对数据库中的语法、数据流、逻辑流、控制流、架构及依赖关系进行全面分析。此外，用户还可以以更精准、一致、可重复且可审计的方式制定并执行自定义质量标准。最终，用户还将能够借助AI智能体自动修复发现的问题，即便在编程智能体持续加速生产AI生成代码的同时，代码质量也能得到切实保障。

Shaukat补充道，各组织将得以摆脱当前面临的繁杂噪声信号与复杂管理负担，在大幅提升软件质量的同时实现更高生产效率，并降低AI编程工具带来的相关成本。

Q&A

Q1：SonarQube是什么？它主要解决什么问题？

A：SonarQube是SonarSource旗下的"零信任"代码验证平台，目前被超过75%的《财富》500强企业采用。它的核心作用是确保应用程序代码保持整洁与安全，帮助开发团队发现代码中的漏洞、错误和质量问题。此次收购Gitar后，SonarQube将从传统的静态分析升级为支持智能体推理，进一步提升自动化代码审查与修复能力。

Q2：Gitar和普通代码审查工具有什么区别？

A：普通代码审查工具通常只能标记和提示代码中存在的错误，需要开发者手动处理。而Gitar更进一步，能够在拉取请求阶段自动修复缺陷和持续集成故障，相当于一位主动纠错的自动化审查员。它由前Uber工程师创立，专注于AI代码的质量管控，目标是在问题进入生产环境前将其彻底解决。

Q3：Sonar收购Gitar之后，用户能获得哪些新能力？

A：整合完成后，用户可以对代码库中的语法、数据流、逻辑流、控制流、架构及依赖关系进行全面分析，还能自定义并执行质量标准，实现更精准、可审计的代码管理。同时，AI智能体将自动修复检测到的问题，帮助团队在提升开发效率的同时，有效控制AI生成代码带来的质量风险。