SonarQube是一种静态代码分析工具，能够有效检测Java代码中的安全漏洞和Bug。文章介绍了一个团队通过SonarQube发现硬编码的支付网关API密钥，强调常规测试无法覆盖此类安全问题。引入SonarQube后，团队设定了质量门禁，确保新代码不引入Bug和漏洞，从而提升代码的安全性和质量。

本文提出了在风险可控的情况下，通过质量门禁、权限收口、发布窗口、测试报告（轮次小结）等方式，暴露风险，并通过变更部署手册评审，在可观测可验证有冗余手段的情况下进行线上发布变更，以此控制发布风险，提高线上交付质量。