Testversion
Testversion

ERWEITERTE SAST

Erkennen Sie Schwachstellen, die andere SAST-Tools übersehen

Die erweiterte SAST-Funktion von Sonar geht über Ihren Code hinaus und analysiert das Verhalten von Bibliotheken von Drittanbietern, um tief verborgene Sicherheitsrisiken aufzudecken, bevor sie in die Produktion gelangen.

LoslegenVertrieb kontaktieren
SAST
  • Demo anfordern
  • Produkttour
  • Sonar-Community
  • Kontakt

Mit Advanced SAST noch tiefer gehen

Die erweiterte SAST-Funktion von Sonar, die in SonarQube Advanced Security enthalten ist, ermöglicht es Unternehmen, Probleme im Anwendungscode zu identifizieren und zu beheben, die durch Interaktionen mit Open-Source-Bibliotheken von Drittanbietern entstehen. Diese einzigartige Funktion ermöglicht es Sonars SAST, den Datenfluss in und aus Bibliotheken zu verfolgen und so tief verborgene Sicherheitslücken aufzudecken, die andere Tools nicht erkennen können.

Advanced SAST erweitert die bestehende SAST-Engine, die bereits eine tiefgehende Taint-Analyse, umfassende Sicherheitsregeln, die Erkennung von Cloud-Geheimnissen und vieles mehr umfasst. Mit dieser innovativen Technologie bieten die kommerziellen Editionen von SonarQube Server und SonarQube Cloud nun vollständige Transparenz über die inneren Abläufe der beliebtesten Bibliotheken und gewährleisten eine beispiellose Code-Analyse.

Mit dem Advanced SAST von Sonar können Unternehmen Code-Sicherheitsherausforderungen souverän angehen, eine robuste Anwendungssicherheit erreichen und die Vorteile einer zuverlässigen und gefestigten Codebasis genießen.


Probieren Sie Advanced SAST mit SonarQube aus
CODE-SICHERHEIT

Vorteile von Advanced SAST

  • Finden Sie tief verborgene Sicherheitsprobleme

  • Sichere Entwicklung beschleunigen

  • Risiko von Sicherheitsverletzungen reduzieren

  • Automatisieren Sie das Scannen von Code

  • Code-Sicherheit und Compliance

  • Umfassende Erkennungs-Engine und Abdeckung

Finden Sie tief verborgene Sicherheitsprobleme

99 % der Softwareanwendungen verwenden und interagieren mit dem Code in Bibliotheken von Drittanbietern (Abhängigkeiten). Heutzutage analysieren die meisten SAST-Tools nur den Anwendungscode und nicht den Bibliothekscode, der für diese Tools meist eine Black Box ist. Das erweiterte SAST von Sonar erweitert die Codeanalyse und das Scannen, um auch die unbekannten Teile des Codes abzudecken, die sich in den Open-Source-Abhängigkeiten befinden. Durch das Scannen von Abhängigkeiten (Bibliotheken) kann Sonar SAST die Datenflussanalyse erweitern und tief verborgene Sicherheitsprobleme im Code finden, die andere Tools nicht finden können. Advanced SAST ist derzeit für Java, C# und JavaScript/TypeScript in SonarQube Server und SonarQube Cloud verfügbar. Es unterstützt Tausende der wichtigsten und am häufigsten verwendeten Open-Source-Bibliotheken, einschließlich ihrer nachfolgenden (transitiven) Abhängigkeiten. Es skaliert automatisch und wird in Zukunft auf weitere Sprachen und Bibliotheken ausgeweitet werden. Zur Optimierung wird maschinelles Lernen (ML) eingesetzt.

Sicherheitsanalyse

Sonar wurde entwickelt, um eine Vielzahl von Code-Problemen zu erkennen und zu beheben, die zu Fehlern und Sicherheitslücken führen können, und unterstützt über 30 Programmiersprachen und Frameworks. Die Sicherheitsanalyse von Sonar kann dabei helfen, eine Vielzahl von Sicherheitsproblemen zu erkennen, wie z. B. SQL-Injection-Schwachstellen, Cross-Site-Scripting-Code-Injection-Angriffe (XSS), Pufferüberläufe, Authentifizierungsprobleme, Cloud-Geheimniserkennung und vieles mehr. In SonarQube Server Enterprise Edition und Data Center Edition sowie im SonarQube Cloud Enterprise Plan sind unsere Sicherheitsregeln nach etablierten Sicherheitsstandards wie PCI DSS, CWE Top 25, OWASP ASVS, OWASP Top 10, STIG und CASA klassifiziert.

Image for Sicherheits-Hotspots > Codeüberprüfung

Sicherheits-Hotspots > Codeüberprüfung

Sicherheits-Hotspots sind sicherheitsrelevante Code-Instanzen, die einer manuellen Überprüfung bedürfen. Entwickler können lernen, Sicherheitsrisiken zu bewerten und ihr Verständnis für sichere Codierungspraktiken zu verbessern, indem sie mit Sicherheits-Hotspots arbeiten.

Image for Sicherheitslücken > Codeänderung/Korrektur

Sicherheitslücken > Codeänderung/Korrektur

Sicherheitslücken erfordern sofortiges Handeln. Sonar bietet detaillierte Problembeschreibungen und Code-Markierungen, die erklären, warum Ihr Code gefährdet ist. Befolgen Sie einfach die Anweisungen, überprüfen Sie die Korrektur und sichern Sie Ihre Anwendung.

Maximaler Schutz mit Taint-Analyse

Verfolgen Sie die böswilligen Akteure

Wenn Sie sicherstellen, dass von Benutzern bereitgestellte Daten bereinigt werden, bevor sie in kritische Systeme (Datenbank, Dateisystem, Betriebssystem usw.) gelangen, tragen Sie zur Sicherheit Ihres Codes bei. Die Taint-Analyse verfolgt nicht vertrauenswürdige Benutzereingaben während des gesamten Ausführungsablaufs – nicht nur über Methoden hinweg, sondern auch von Datei zu Datei.

Entdecken Sie weitere Funktionen

Kritische Codesicherheitsregeln für wichtige Sprachen

Erhalten Sie hochrelevante Regeln für kritische Sprachen, um Ihren Code mit SAST-Tools sicher zu halten.

Sprachen wie Java, PHP, C#, C, C++, Python, JavaScript, TypeScript und mehr.

Entdecken Sie alle Sprachen

CODESICHERHEIT

Frühzeitiges Sicherheitsfeedback, befähigte Entwickler

ÜBERNEHMEN SIE VERANTWORTUNG

Echtzeit-Feedback

Sicherheitsfeedback während der Codeüberprüfung ist Ihre Gelegenheit, mehr zu lernen und Verantwortung für die Codesicherheit zu übernehmen.

jeff leaves a note about code issues
IDE INTEGRATION

Verbundener Modus mit SonarQube für IDE

Finden Sie Schwachstellen und Sicherheitsrisiken mithilfe von statischen Anwendungssicherheitstests (SAST) mit SonarQube Server oder SonarQube Cloud und beheben Sie diese in Ihrer IDE mit SonarQube für IDE als Leitfaden.

sonar working with jetbrains, eclipse, vs and vs code
QUALITÄTSPRÜFUNG

Sicherer Code

Setzen Sie Schwachstellenstandards und die Überprüfung von Sicherheitsrisiken in Ihrer Qualitätsprüfung durch, um sicherzustellen, dass Sie nur sicheren Code zusammenführen.

coding issues are resolved
SICHERHEIT

Erläuterung der Sicherheitsregeln

Ein tiefgreifendes Verständnis des Problems und seiner Auswirkungen führt zu einer besseren Behebung und einer sichereren Anwendung.

Sonar-Sicherheitsberichte

Sicherheitsberichte geben Ihnen schnell einen Überblick über die Konformität Ihres Codes mit Sicherheitsstandards. Diese Sicherheitsberichte sind in SonarQube Server Enterprise Edition und Data Center Edition sowie im SonarQube Cloud Enterprise Plan verfügbar und ermöglichen es Ihnen, zu erfahren, wo Sie im Vergleich zu den häufigsten Sicherheitsfehlern stehen. Regulierungsberichte verfolgen die Qualität jeder Version und liefern den Nachweis, dass der gelieferte Code den Qualitätsstandards des Unternehmens entspricht.

Die Berichte umfassen:

  • PCI DSS (Versionen 4.0 und 3.2.1)
  • OWASP Top 10 (Versionen 2021 und 2017)
  • CWE Top 25 (Versionen 2022, 2021 und 2020)
  • OWASP ASVS (Version 4.0 mit Level 1 bis 3)
  • STIG
  • CASA
Siehe OWASP Top 10

Ihr End-to-End-SAST-Tool

Integrieren Sie statische Analysen nahtlos in Ihren Softwareentwicklungs-Workflow

DevOps und CI/CD

Durch die Integration von SAST in die DevOps- und CI/CD-Pipelines können Unternehmen die Sicherheit ihrer Software verbessern und sicherstellen, dass Schwachstellen frühzeitig im Entwicklungszyklus erkannt werden. Sicherheitsanalyse-Tools werden zu einem integralen Bestandteil des Entwicklungsprozesses und erhalten frühzeitig Echtzeit-Feedback, wenn sie Codeänderungen vornehmen. Sonar-Integrationen werden für gängige DevOps- und CI/CD-Plattformen wie GitHub, GitLab, Azure Devops, TravisCI, CircleCI und Bitbucket unterstützt. Sonar bietet native Unterstützung für die gängigsten SCMs wie Git und Subversion sowie Community-Support für andere beliebte SCMs wie CVS, Jazz RTC, Mercurial und TFVC.

Pull-Request-Dekoration

Erhalten Sie sofortige Code-Reviews direkt in Ihren Pull-Requests und Entwicklungszweigen. Beheben Sie Probleme, bevor sie zu Problemen werden.

  • Implementieren Sie ein Go/No-Go-Qualitätsgate, um CI/CD-Pipelines automatisch zu unterbrechen, wenn der Code nicht Ihren Standards entspricht.
  • Überprüfen und priorisieren Sie Code-Korrekturen direkt in der DevOps-Plattform-Oberfläche.
  • Richten Sie mehrere Qualitätsgates für Ihr Monorepo mit verschiedenen Projekten ein, um spezifische Feedback-Meldungen für jedes Projekt zu erhalten.

IDE-Integration mit SonarQube für IDE

  • Überlegene Code-Qualitäts-Tool-Funktionen direkt in den Code-Umgebungen der Entwickler
  • Analytisches Feedback in Echtzeit
  • Hervorhebung von Code-Problemen
  • Strenge Code-Qualitätsstandards sowie Details zu Sicherheitslücken und Anleitungen zur Behebung
  • Anpassbare Regeln ermöglichen es Entwicklern, entsprechend ihren spezifischen Anforderungen zu programmieren
  • Erweiterte Flexibilität ermöglicht Entwicklern die Anpassung und Übernahme in mehreren unterstützten Sprachen
Security Architect

"Sonar has helped our organization by enabling us to maintain code standards and code cleanliness."

Ricky Lopez, Security Architect/AppSec ManagerGrupo Financiero Banorte

Read customer stories
Grupo Financiero Banorte
Security Architect

Ricky Lopez, Security Architect/AppSec Manager

"Sonar has helped our organization by enabling us to maintain code standards and code cleanliness."

Read customer stories

Sind Sie bereit, Ihren Code zu sichern?

Beginnen mit Open SourceStarten Sie Ihre Unternehmens-Testversion

Frequently asked questions

Sonar's SAST solution is designed to identify and remediate security vulnerabilities in source code before applications are deployed. By conducting automated analysis across multiple programming languages and frameworks, the solution helps developers catch issues such as SQL injection, cross-site scripting, and code injection early in the software development lifecycle. This proactive approach enables teams to build more secure software and reduces the risk of breaches after release.

By fostering a shift-left security mindset, Sonar's SAST supports the development of quality code by integrating seamlessly into DevOps workflows and popular IDEs. Developers receive actionable feedback directly within their coding environment, allowing them to fix security flaws and adhere to best practices as part of their regular coding process. This results in more robust, secure, and maintainable codebases and enhances overall software quality.

Gehen Sie zur Sonar-Homepage
  • Follow SonarSource on Twitter
  • Follow SonarSource on Linkedin
language switcher
Deutsch (German)
  • Rechtliche Dokumentation
  • Vertrauenszentrum

© 2008-2024 SonarSource SA. All rights reserved. SONAR, SONARSOURCE, SONARQUBE, and CLEAN AS YOU CODE are trademarks of SonarSource SA.