ERWEITERTE SAST

Erkennen Sie Schwachstellen, die andere SAST-Tools übersehen

Die erweiterte SAST-Funktion von Sonar geht über Ihren Code hinaus und analysiert das Verhalten von Bibliotheken von Drittanbietern, um tief verborgene Sicherheitsrisiken aufzudecken, bevor sie in die Produktion gelangen.

LoslegenVertrieb kontaktieren

Mit Advanced SAST noch tiefer gehen

Die erweiterte SAST-Funktion von Sonar, die in SonarQube Advanced Security enthalten ist, ermöglicht es Unternehmen, Probleme im Anwendungscode zu identifizieren und zu beheben, die durch Interaktionen mit Open-Source-Bibliotheken von Drittanbietern entstehen. Diese einzigartige Funktion ermöglicht es Sonars SAST, den Datenfluss in und aus Bibliotheken zu verfolgen und so tief verborgene Sicherheitslücken aufzudecken, die andere Tools nicht erkennen können.

Advanced SAST erweitert die bestehende SAST-Engine, die bereits eine tiefgehende Taint-Analyse, umfassende Sicherheitsregeln, die Erkennung von Cloud-Geheimnissen und vieles mehr umfasst. Mit dieser innovativen Technologie bieten die kommerziellen Editionen von SonarQube Server und SonarQube Cloud nun vollständige Transparenz über die inneren Abläufe der beliebtesten Bibliotheken und gewährleisten eine beispiellose Code-Analyse.

Mit dem Advanced SAST von Sonar können Unternehmen Code-Sicherheitsherausforderungen souverän angehen, eine robuste Anwendungssicherheit erreichen und die Vorteile einer zuverlässigen und gefestigten Codebasis genießen.


Probieren Sie Advanced SAST mit SonarQube aus
Image
CODE-SICHERHEIT

Vorteile von Advanced SAST

Icon

Finden Sie tief verborgene Sicherheitsprobleme

99 % der Softwareanwendungen verwenden und interagieren mit dem Code in Bibliotheken von Drittanbietern (Abhängigkeiten). Heutzutage analysieren die meisten SAST-Tools nur den Anwendungscode und nicht den Bibliothekscode, der für diese Tools meist eine Black Box ist. Das erweiterte SAST von Sonar erweitert die Codeanalyse und das Scannen, um auch die unbekannten Teile des Codes abzudecken, die sich in den Open-Source-Abhängigkeiten befinden. Durch das Scannen von Abhängigkeiten (Bibliotheken) kann Sonar SAST die Datenflussanalyse erweitern und tief verborgene Sicherheitsprobleme im Code finden, die andere Tools nicht finden können. Advanced SAST ist derzeit für Java, C# und JavaScript/TypeScript in SonarQube Server und SonarQube Cloud verfügbar. Es unterstützt Tausende der wichtigsten und am häufigsten verwendeten Open-Source-Bibliotheken, einschließlich ihrer nachfolgenden (transitiven) Abhängigkeiten. Es skaliert automatisch und wird in Zukunft auf weitere Sprachen und Bibliotheken ausgeweitet werden. Zur Optimierung wird maschinelles Lernen (ML) eingesetzt.

Sicherheitsanalyse

Sonar wurde entwickelt, um eine Vielzahl von Code-Problemen zu erkennen und zu beheben, die zu Fehlern und Sicherheitslücken führen können, und unterstützt über 30 Programmiersprachen und Frameworks. Die Sicherheitsanalyse von Sonar kann dabei helfen, eine Vielzahl von Sicherheitsproblemen zu erkennen, wie z. B. SQL-Injection-Schwachstellen, Cross-Site-Scripting-Code-Injection-Angriffe (XSS), Pufferüberläufe, Authentifizierungsprobleme, Cloud-Geheimniserkennung und vieles mehr. In SonarQube Server Enterprise Edition und Data Center Edition sowie im SonarQube Cloud Enterprise Plan sind unsere Sicherheitsregeln nach etablierten Sicherheitsstandards wie PCI DSS, CWE Top 25, OWASP ASVS, OWASP Top 10, STIG und CASA klassifiziert.

Header image
Sicherheits-Hotspots > Codeüberprüfung image

Sicherheits-Hotspots > Codeüberprüfung

Sicherheits-Hotspots sind sicherheitsrelevante Code-Instanzen, die einer manuellen Überprüfung bedürfen. Entwickler können lernen, Sicherheitsrisiken zu bewerten und ihr Verständnis für sichere Codierungspraktiken zu verbessern, indem sie mit Sicherheits-Hotspots arbeiten.

Sicherheitslücken > Codeänderung/Korrektur image

Sicherheitslücken > Codeänderung/Korrektur

Sicherheitslücken erfordern sofortiges Handeln. Sonar bietet detaillierte Problembeschreibungen und Code-Markierungen, die erklären, warum Ihr Code gefährdet ist. Befolgen Sie einfach die Anweisungen, überprüfen Sie die Korrektur und sichern Sie Ihre Anwendung.

Maximaler Schutz mit Taint-Analyse

Verfolgen Sie die böswilligen Akteure

Wenn Sie sicherstellen, dass von Benutzern bereitgestellte Daten bereinigt werden, bevor sie in kritische Systeme (Datenbank, Dateisystem, Betriebssystem usw.) gelangen, tragen Sie zur Sicherheit Ihres Codes bei. Die Taint-Analyse verfolgt nicht vertrauenswürdige Benutzereingaben während des gesamten Ausführungsablaufs – nicht nur über Methoden hinweg, sondern auch von Datei zu Datei.

Entdecken Sie weitere Funktionen
Image

Kritische Codesicherheitsregeln für wichtige Sprachen

Erhalten Sie hochrelevante Regeln für kritische Sprachen, um Ihren Code mit SAST-Tools sicher zu halten.

Sprachen wie Java, PHP, C#, C, C++, Python, JavaScript, TypeScript und mehr.

Entdecken Sie alle Sprachen
Image
CODESICHERHEIT

Frühzeitiges Sicherheitsfeedback, befähigte Entwickler

ÜBERNEHMEN SIE VERANTWORTUNG

Echtzeit-Feedback

Sicherheitsfeedback während der Codeüberprüfung ist Ihre Gelegenheit, mehr zu lernen und Verantwortung für die Codesicherheit zu übernehmen.

jeff leaves a note about code issues

Sonar-Sicherheitsberichte

Sicherheitsberichte geben Ihnen schnell einen Überblick über die Konformität Ihres Codes mit Sicherheitsstandards. Diese Sicherheitsberichte sind in SonarQube Server Enterprise Edition und Data Center Edition sowie im SonarQube Cloud Enterprise Plan verfügbar und ermöglichen es Ihnen, zu erfahren, wo Sie im Vergleich zu den häufigsten Sicherheitsfehlern stehen. Regulierungsberichte verfolgen die Qualität jeder Version und liefern den Nachweis, dass der gelieferte Code den Qualitätsstandards des Unternehmens entspricht.

Die Berichte umfassen:

  • PCI DSS (Versionen 4.0 und 3.2.1)
  • OWASP Top 10 (Versionen 2021 und 2017)
  • CWE Top 25 (Versionen 2022, 2021 und 2020)
  • OWASP ASVS (Version 4.0 mit Level 1 bis 3)
  • STIG
  • CASA
Siehe OWASP Top 10
Image

Ihr End-to-End-SAST-Tool

Integrieren Sie statische Analysen nahtlos in Ihren Softwareentwicklungs-Workflow

DevOps und CI/CD

Durch die Integration von SAST in die DevOps- und CI/CD-Pipelines können Unternehmen die Sicherheit ihrer Software verbessern und sicherstellen, dass Schwachstellen frühzeitig im Entwicklungszyklus erkannt werden. Sicherheitsanalyse-Tools werden zu einem integralen Bestandteil des Entwicklungsprozesses und erhalten frühzeitig Echtzeit-Feedback, wenn sie Codeänderungen vornehmen. Sonar-Integrationen werden für gängige DevOps- und CI/CD-Plattformen wie GitHub, GitLab, Azure Devops, TravisCI, CircleCI und Bitbucket unterstützt. Sonar bietet native Unterstützung für die gängigsten SCMs wie Git und Subversion sowie Community-Support für andere beliebte SCMs wie CVS, Jazz RTC, Mercurial und TFVC.

Image

Pull-Request-Dekoration

Erhalten Sie sofortige Code-Reviews direkt in Ihren Pull-Requests und Entwicklungszweigen. Beheben Sie Probleme, bevor sie zu Problemen werden.

  • Implementieren Sie ein Go/No-Go-Qualitätsgate, um CI/CD-Pipelines automatisch zu unterbrechen, wenn der Code nicht Ihren Standards entspricht.
  • Überprüfen und priorisieren Sie Code-Korrekturen direkt in der DevOps-Plattform-Oberfläche.
  • Richten Sie mehrere Qualitätsgates für Ihr Monorepo mit verschiedenen Projekten ein, um spezifische Feedback-Meldungen für jedes Projekt zu erhalten.

IDE-Integration mit SonarQube für IDE

  • Überlegene Code-Qualitäts-Tool-Funktionen direkt in den Code-Umgebungen der Entwickler
  • Analytisches Feedback in Echtzeit
  • Hervorhebung von Code-Problemen
  • Strenge Code-Qualitätsstandards sowie Details zu Sicherheitslücken und Anleitungen zur Behebung
  • Anpassbare Regeln ermöglichen es Entwicklern, entsprechend ihren spezifischen Anforderungen zu programmieren
  • Erweiterte Flexibilität ermöglicht Entwicklern die Anpassung und Übernahme in mehreren unterstützten Sprachen
Security Architect

"Sonar has helped our organization by enabling us to maintain code standards and code cleanliness."

Ricky LopezSecurity Architect/AppSec Manager

Read customer stories

Sind Sie bereit, Ihren Code zu sichern?

Beginnen mit Open SourceStarten Sie Ihre Unternehmens-Testversion

SAST FAQs

How does advanced SAST find vulnerabilities traditional tools can’t?

Traditional tools create a “black box” around third-party libraries, but Advanced SAST eliminates this blind spot. It extends taint analysis to trace the flow of data into and out of open source dependencies. By seeing how your code interacts with the library code, it uncovers deeply hidden, complex vulnerabilities that traditional static application testing(SAST) tools miss.

How does advanced SAST work?

Advanced SAST focuses on analyzing the interaction between your first-party code and the third-party libraries. It does not search for existing vulnerabilities inside the third-party library code. It pre-scans popular source libraries to create a knowledge base of security sensitive points- like where data enters or leaves a function. Then during the project analysis, it checks if your code is misusing those library functions in a way that creates a vulnerability in your application. 

Why do I need advanced SAST if I already use software composition analysis(SCA)?

SCA focuses on identifying known, public vulnerabilities(CVEs) within a library itself. Advanced SAST solves a different challenge; vulnerabilities that arise from the interaction between your code and third-party library code. By enabling both Advanced SAST and SCA, you get full, integrated visibility of risks that neither tool can provide alone.

What is a real-world example of a vulnerability found by Advanced SAST?

A notable example is the critical Jenkins vulnerability(CVE-2024-23897), which was caused by the insecure interaction between Jenkins code and an imported third-party library. The core issue wasn’t in either piece of the code, but in their combination. Only Advanced SAST would be capable of analyzing this specific interaction to correctly identify and raise the security vulnerability.

How are scan results and remediation suggestions presented to developers using SonarQube's SAST?

Scan results from SonarQube's SAST solution are presented in clear, actionable reports that highlight discovered vulnerabilities and suggest remediation steps. Developers receive this feedback either directly within their IDE or through integrated dashboards, making it easy to incorporate fixes promptly into their workflow.

Actionable suggestions guide developers to resolve security issues while adhering to best practices for writing quality code. By breaking down vulnerabilities to the source and recommending proper fixes, SonarQube helps bridge the gap between detection and remediation, empowering teams to reduce risk efficiently.

What makes SonarQube’s approach to quality code unique compared to other SAST solutions?

SonarQube's SAST solution stands out for its commitment to enhancing both security and maintainability within the codebase. The solution encourages developers to address not only immediate vulnerabilities but also code quality issues such as code duplication, complexity, and outdated patterns. This dual focus ensures that security improvements go hand-in-hand with sustainable development practices.

By integrating security checks into daily coding activities and emphasizing actionable feedback, SonarQube helps teams create high-quality software that evolves with changing requirements and technology landscapes. The holistic approach ensures that code is prepared for future innovation while staying secure and robust.

How often should SAST scans be run to maintain quality code in a rapidly changing codebase?

Security and quality are best maintained when SAST scans are run continuously throughout the development lifecycle. SonarQube supports automated, incremental scans with every code commit, merge request, or build, ensuring that new vulnerabilities and quality issues are detected as soon as they are introduced.

This frequent analysis allows teams to catch problems early, avoid technical debt, and keep codebases secure without slowing down delivery. By integrating SAST into the regular rhythm of development, organizations can sustain high standards for quality code and adapt quickly to new risks and challenges.

What’s the difference between SAST and DAST?

Static Application Security Testing (SAST) analyzes an application’s source code, bytecode, or binaries to find security vulnerabilities before the app runs. It’s performed early in the SDLC (pre-production), integrates with IDEs and CI pipelines, and flags issues at the line-of-code level (e.g., injection risks, insecure APIs). Fixes are typically faster because developers get precise locations and remediation guidance.

Dynamic Application Security Testing (DAST) tests a running application from the outside-in, simulating an attacker’s perspective. It requires a deployed (staging or production-like) environment and detects exploitable issues at runtime (e.g., broken authentication, misconfigurations, server errors). Findings reflect real behaviors and are less prone to false positives, but the root cause in code is less direct and fixes can take longer.