SonarQube_General.svg

Deeper Analysis. Unmatched Security.

14-day free trial

Select a country
Select # of Developers
I already use SonarQube Community Build
I do not wish to receive promotional emails about upcoming SonarQube updates, new releases, news and events.

By submitting this form, you agree to the storing and processing of your personal data as described in the Privacy Policy and Cookie Policy. You can withdraw your consent by unsubscribing at any time.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Deeper Analysis. Unmatched Security.

Uncover Hidden Code Vulnerabilities with SonarQube Server SAST

  • Comprehensive detection engine for code quality and security
  • Over 5000 rules for 35+ languages and frameworks
  • Deeper SAST coverage for Java, C#, and JavaScript/TypeScript
  • Branch Analysis and Pull Request decoration
  • Powerful secrets detection
  • Security Reports including OWASP, CWE Top 25, and PCI DSS
  • Regulatory release reports
  • Security Engine customization
  • Detection of injection flaws, cross-site scripting, deserialization issues and more
CODE SECURITY

benefits of deeper SAST

  • Hidden security issues

  • Accelerate development

  • Reduce risk of security breaches

  • Automate code scanning

  • Code Security and compliance

  • Comprehensive Detection Engine and coverage

Find deeply hidden security issues

99% of software applications use and interact with the code in third-party libraries (dependencies). Deeper SAST from Sonar extends code analysis and scanning to cover the unknown parts of the code that are in the open-source dependencies. Scanning dependencies (libraries) allows Sonar SAST to extend the dataflow analysis and find deeply hidden security issues in code that other tools cannot find. Deeper SAST is available today for Java, C#, and JavaScript/TypeScript in SonarQube Server and SonarQube Cloud.

Sicherheitsanalyse

Sonar wurde entwickelt, um eine Vielzahl von Code-Problemen zu erkennen und zu beheben, die zu Fehlern und Sicherheitslücken führen können, und unterstützt über 30 Programmiersprachen und Frameworks. Die Sicherheitsanalyse von Sonar kann dabei helfen, eine Vielzahl von Sicherheitsproblemen zu erkennen, wie z. B. SQL-Injection-Schwachstellen, Cross-Site-Scripting-Code-Injection-Angriffe (XSS), Pufferüberläufe, Authentifizierungsprobleme, Cloud-Geheimniserkennung und vieles mehr. In SonarQube Server Enterprise Edition und Data Center Edition sowie im SonarQube Cloud Enterprise Plan sind unsere Sicherheitsregeln nach etablierten Sicherheitsstandards wie PCI DSS, CWE Top 25, OWASP ASVS, OWASP Top 10, STIG und CASA klassifiziert.

Image for Sicherheits-Hotspots > Codeüberprüfung

Sicherheits-Hotspots > Codeüberprüfung

Sicherheits-Hotspots sind sicherheitsrelevante Code-Instanzen, die einer manuellen Überprüfung bedürfen. Entwickler können lernen, Sicherheitsrisiken zu bewerten und ihr Verständnis für sichere Codierungspraktiken zu verbessern, indem sie mit Sicherheits-Hotspots arbeiten.

Image for Sicherheitslücken > Codeänderung/Korrektur

Sicherheitslücken > Codeänderung/Korrektur

Sicherheitslücken erfordern sofortiges Handeln. Sonar bietet detaillierte Problembeschreibungen und Code-Markierungen, die erklären, warum Ihr Code gefährdet ist. Befolgen Sie einfach die Anweisungen, überprüfen Sie die Korrektur und sichern Sie Ihre Anwendung.

Chase down the bad actors

Making sure user-provided data is sanitized before it hits critical systems (database, file system, OS, etc.) helps ensure your code security. Taint analysis tracks untrusted user input throughout the execution flow - across not just methods but also from file to file.

Visual Represents taint analysis

Sonar-Sicherheitsberichte

Sicherheitsberichte geben Ihnen schnell einen Überblick über die Konformität Ihres Codes mit Sicherheitsstandards. Diese Sicherheitsberichte sind in SonarQube Server Enterprise Edition und Data Center Edition sowie im SonarQube Cloud Enterprise Plan verfügbar und ermöglichen es Ihnen, zu erfahren, wo Sie im Vergleich zu den häufigsten Sicherheitsfehlern stehen. Regulierungsberichte verfolgen die Qualität jeder Version und liefern den Nachweis, dass der gelieferte Code den Qualitätsstandards des Unternehmens entspricht.

Die Berichte umfassen:

  • PCI DSS (Versionen 4.0 und 3.2.1)
  • OWASP Top 10 (Versionen 2021 und 2017)
  • CWE Top 25 (Versionen 2022, 2021 und 2020)
  • OWASP ASVS (Version 4.0 mit Level 1 bis 3)
  • STIG
  • CASA
Siehe OWASP Top 10

Ihr End-to-End-SAST-Tool

Integrieren Sie statische Analysen nahtlos in Ihren Softwareentwicklungs-Workflow

DevOps und CI/CD

Durch die Integration von SAST in die DevOps- und CI/CD-Pipelines können Unternehmen die Sicherheit ihrer Software verbessern und sicherstellen, dass Schwachstellen frühzeitig im Entwicklungszyklus erkannt werden. Sicherheitsanalyse-Tools werden zu einem integralen Bestandteil des Entwicklungsprozesses und erhalten frühzeitig Echtzeit-Feedback, wenn sie Codeänderungen vornehmen. Sonar-Integrationen werden für gängige DevOps- und CI/CD-Plattformen wie GitHub, GitLab, Azure Devops, TravisCI, CircleCI und Bitbucket unterstützt. Sonar bietet native Unterstützung für die gängigsten SCMs wie Git und Subversion sowie Community-Support für andere beliebte SCMs wie CVS, Jazz RTC, Mercurial und TFVC.

Pull-Request-Dekoration

Erhalten Sie sofortige Code-Reviews direkt in Ihren Pull-Requests und Entwicklungszweigen. Beheben Sie Probleme, bevor sie zu Problemen werden.

  • Implementieren Sie ein Go/No-Go-Qualitätsgate, um CI/CD-Pipelines automatisch zu unterbrechen, wenn der Code nicht Ihren Standards entspricht.
  • Überprüfen und priorisieren Sie Code-Korrekturen direkt in der DevOps-Plattform-Oberfläche.
  • Richten Sie mehrere Qualitätsgates für Ihr Monorepo mit verschiedenen Projekten ein, um spezifische Feedback-Meldungen für jedes Projekt zu erhalten.

IDE-Integration mit SonarQube für IDE

  • Überlegene Code-Qualitäts-Tool-Funktionen direkt in den Code-Umgebungen der Entwickler
  • Analytisches Feedback in Echtzeit
  • Hervorhebung von Code-Problemen
  • Strenge Code-Qualitätsstandards sowie Details zu Sicherheitslücken und Anleitungen zur Behebung
  • Anpassbare Regeln ermöglichen es Entwicklern, entsprechend ihren spezifischen Anforderungen zu programmieren
  • Erweiterte Flexibilität ermöglicht Entwicklern die Anpassung und Übernahme in mehreren unterstützten Sprachen
Pacific Textiles Ltd

„Bei der Implementierung großer Projekte mit verschiedenen externen Parteien ist es nahezu unmöglich, die Codequalität aufrechtzuerhalten. Mit SonarQube Server konnten wir die Qualität der Codebasis für diese großen Projekte verbessern – insbesondere, indem wir die Menge an Codeduplizierungen erheblich reduzieren konnten. Refactoring.“ ist eine viel einfachere Aufgabe geworden.“

Hubert Tsang
Hubert Tsang, Chief Information Officer @ Pacific Textiles Ltd

ready to secure your code?

Start Your Free Trial Now