Integrierte Codequalität und Codesicherheit

Anwendungssicherheit beginnt mit dem Code

Sichern Sie Ihre gesamte Codebasis – First-Party, Third-Party und alles dazwischen. SonarQube lässt sich nahtlos in Ihren Workflow integrieren und erkennt und behebt Schwachstellen mit schnellen, genauen und präzisen automatisierten Sicherheitsanalysen.

Vertraut von über 7 Millionen Entwicklern weltweit

Mercedes Benz
Nvidia
U.S. Army
Santander

Unsere Sicherheitslösung

Hauptvorteile

Icon

Umfassende Codeabdeckung

Vollständige Analyse der Codequalität und Codesicherheit für über 30 Sprachen (und Frameworks) für Erstanbieter-, Drittanbieter- und KI-generierten Code

Erfahren Sie mehr über SAST und SonarQube Server. Sprechen Sie mit einem Experten.

Statische Anwendungssicherheitstests (SAST)

Erkennen Sie Schwachstellen automatisch, bevor sie in die Produktion gelangen – mit unserer leistungsstarken SAST-Lösung. Unsere SAST-Technologie identifiziert Hunderte verschiedener Arten von Sicherheitsproblemen, die relevant und bedeutsam sind – und das alles während der Entwicklung.

  • Unterstützt die am häufigsten verwendeten Programmiersprachen, darunter Java, JavaScript, TypeScript, Python, PHP, C, C++, C# und mehr
  • Integriert sich in Ihre IDE und CI/CD-Pipeline für nahtlose Sicherheitsüberprüfungen
  • Enthält detaillierte Anleitungen zur Fehlerbehebung und AI CodeFix, um Entwicklern zu helfen, Probleme schnell zu beheben
  • Erstellen Sie benutzerdefinierte Regeln, um organisationsspezifische Sicherheitsrichtlinien durchzusetzen
Erfahren Sie mehr über SAST
Image

Makel-Analyse

Unsere Taint-Analyse-Engine verfolgt den komplexen Datenfluss durch die Schichten Ihres Anwendungscodes, um potenzielle Sicherheitslücken von nicht vertrauenswürdigen Quellen bis hin zu sensiblen Senken zu identifizieren.

  • Erkennung von SQL-Injection, XSS, SSRF, Deserialisierung und anderen Injection-Schwachstellen
  • Hochentwickelte und präzise funktions- und dateiübergreifende Datenflussanalyse zur Reduzierung von Fehlalarmen
  • Framework-bewusstes Scannen, das die Sicherheitskontrollen in gängigen Frameworks versteht
Entdecken Sie die Taint-Analyse
Image

Erweitertes SAST

Unsere erweiterten statischen Analysefunktionen gehen über herkömmliches SAST hinaus und decken tief verborgene Sicherheitslücken mit weniger Fehlalarmen auf. Advanced SAST hilft bei der Identifizierung tieferer und komplexerer Schwachstellen durch die Interaktion Ihres Anwendungscodes mit Drittanbieter-Code (Open Source).

  • Externe, abhängigkeitsbewusste SAST-Analyse, die den Fluss zwischen Quelle und Senke versteht
  • Dateiübergreifende Taint-Analyse, die tief in Bibliotheken von Drittanbietern eindringt, um schwer zu findende Schwachstellen zu erkennen
  • Erfordert keine Konfiguration und hat keinen Overhead, trotz schneller und genauer Analyse
  • Verfügbar für Java, C#, JavaScript und TypeScript
Entdecken Sie Advanced SAST
Image

Software Composition Analysis (SCA)

Durch die Analyse von Software-Lieferketten, die Identifizierung von Schwachstellen und die Sicherstellung der Lizenzkonformität können Teams ihre Codebasis proaktiv absichern und Risiken im Zusammenhang mit Drittanbieter-Abhängigkeiten reduzieren.

  • Schwachstellenidentifizierung: Optimierte Prozesse zur Verfolgung, Verwaltung und Minderung von Drittanbieter-Schwachstellen (einschließlich CVEs) in Open-Source-Abhängigkeiten von Drittanbietern.
  • Lizenzkonformität: Sicherstellung, dass alle integrierten Komponenten den Richtlinien des Unternehmens für zulässige Softwarelizenzen entsprechen.
  • SBOM (Software Bill of Materials): Detaillierte Inventare, die Teams helfen, die Zusammensetzung ihres Codes zu verstehen, zu verwalten und darüber zu berichten.
Erfahren Sie mehr über SCA
Image

Entdeckung von Geheimnissen

Verhindern Sie die versehentliche Offenlegung vertraulicher Informationen mit unseren umfassenden Funktionen zur Geheimniserkennung. SonarQube findet Geheimnisse im Quellcode Ihrer IDE und erkennt sie auch in Ihrer CI/CD-Pipeline mit SonarQube (Server und Cloud).

  • Erkennung von API-Schlüsseln, Passwörtern, Token und anderen sensiblen Daten mithilfe von Hunderten von Regeln und geheimen Mustern, die alle gängigen Technologien und Anbieter abdecken
  • Erkennen Sie Geheimnisse mithilfe einer leistungsstarken Kombination aus regulären Ausdrücken und semantischer Analyse
  • Benutzerdefinierte Mustererkennung für organisationsspezifische Geheimnisse für private Dienste
  • Erkennen Sie Geheimnisse in Ihrem Code direkt in der IDE und verhindern Sie, dass diese jemals in Ihr Repository gelangen
Entdecken Sie die Erkennung von Geheimnissen
Image

Infrastruktur als Code (IaC)-Scannen

Finden Sie Sicherheitsfehlkonfigurationen in Ihrer Infrastruktur als Code (IaC), um sichere Produktionsumgebungen zu gewährleisten.

  • Unterstützung für Terraform, CloudFormation, Azure Resource Manager, Kubernetes-Manifeste und Ansible
  • Erkennung von Fehlkonfigurationen und Sicherheitsrisiken in Infrastrukturdefinitionen
  • Erhalten Sie umsetzbare, hochpräzise Analyseergebnisse
Erfahren Sie mehr über IaC-Scanning
Image

Ein Must-have für Ihr Team

Von Entwicklern für Entwickler entwickelt, von Organisationen als vertrauenswürdig eingestuft.

2 Milliarden icon

2 Milliarden

LoCs werden kontinuierlich analysiert

110,000+ icon

110,000+

aktive Projekte

6,000+ icon

6,000+

Kodierungsregeln verfügbar

Ondrej Kolousek image

„Releases sind sicherer – über 65 % besser. Das Sicherheitsniveau ist 75 % höher (Kostenersparnis bei Penetrationstests)“

Ondrej KolousekCISO, Generali Czech Republic

Sichern Sie noch heute Ihre Entwicklungspipeline