SonarQube_General.svg

Deeper Analysis. Unmatched Security.

14-day free trial

Select a country
Select # of Developers
I already use SonarQube Community Build
I do not wish to receive promotional emails about upcoming SonarQube updates, new releases, news and events.

By submitting this form, you agree to the storing and processing of your personal data as described in the Privacy Policy and Cookie Policy. You can withdraw your consent by unsubscribing at any time.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Deeper Analysis. Unmatched Security.

Uncover Hidden Code Vulnerabilities with SonarQube Server SAST

  • Comprehensive detection engine for code quality and security
  • Over 5000 rules for 35+ languages and frameworks
  • Deeper SAST coverage for Java, C#, and JavaScript/TypeScript
  • Branch Analysis and Pull Request decoration
  • Powerful secrets detection
  • Security Reports including OWASP, CWE Top 25, and PCI DSS
  • Regulatory release reports
  • Security Engine customization
  • Detection of injection flaws, cross-site scripting, deserialization issues and more
CODE SECURITY

benefits of deeper SAST

  • Hidden security issues

  • Accelerate development

  • Reduce risk of security breaches

  • Automate code scanning

  • Code Security and compliance

  • Comprehensive Detection Engine and coverage

Find deeply hidden security issues

99% of software applications use and interact with the code in third-party libraries (dependencies). Deeper SAST from Sonar extends code analysis and scanning to cover the unknown parts of the code that are in the open-source dependencies. Scanning dependencies (libraries) allows Sonar SAST to extend the dataflow analysis and find deeply hidden security issues in code that other tools cannot find. Deeper SAST is available today for Java, C#, and JavaScript/TypeScript in SonarQube Server and SonarQube Cloud.

Análisis de seguridad

Diseñado para detectar y corregir una amplia gama de problemas de código que pueden dar lugar a errores y vulnerabilidades de seguridad, Sonar es compatible con más de 30 lenguajes de programación y marcos de trabajo. El análisis de seguridad de Sonar puede ayudar a detectar una amplia gama de problemas de seguridad, como vulnerabilidades de inyección SQL, ataques de inyección de código de scripts entre sitios (XSS), desbordamientos de búfer, problemas de autenticación, detección de secretos en la nube y mucho más. En SonarQube Server Enterprise Edition y Data Center Edition, así como en SonarQube Cloud Enterprise Plan, nuestras reglas de seguridad se clasifican según estándares de seguridad bien establecidos, como PCI DSS, CWE Top 25, OWASP ASVS, OWASP Top 10, STIG y CASA.

Image for Puntos críticos de seguridad > revisión de código

Puntos críticos de seguridad > revisión de código

Los puntos críticos de seguridad son instancias de código sensible a la seguridad que requieren revisión humana. Los desarrolladores pueden aprender a evaluar los riesgos de seguridad y mejorar su comprensión de las prácticas de codificación segura trabajando con los puntos críticos de seguridad.

Image for Vulnerabilidades de seguridad > cambio/corrección de código

Vulnerabilidades de seguridad > cambio/corrección de código

Las vulnerabilidades de seguridad requieren una acción inmediata. Sonar proporciona descripciones detalladas de los problemas y resaltados de código que explican por qué su código está en riesgo. Solo tiene que seguir las instrucciones, registrar una corrección y proteger su aplicación.

Chase down the bad actors

Making sure user-provided data is sanitized before it hits critical systems (database, file system, OS, etc.) helps ensure your code security. Taint analysis tracks untrusted user input throughout the execution flow - across not just methods but also from file to file.

Visual Represents taint analysis

Informes de seguridad de Sonar

Los informes de seguridad le ofrecen rápidamente una visión general del cumplimiento de las normas de seguridad por parte de su código. Disponibles en SonarQube Server Enterprise Edition y Data Center Edition y en SonarQube Cloud Enterprise Plan, estos informes de seguridad le permiten saber cuál es su situación en comparación con los errores de seguridad más comunes. Los informes normativos realizan un seguimiento de la calidad de cada lanzamiento y proporcionan pruebas de que el código entregado cumple con los estándares de calidad de la organización.

Los informes incluyen:

  • PCI DSS (versiones 4.0 y 3.2.1)
  • OWASP Top 10 (versiones 2021 y 2017)
  • CWE Top 25 (versiones 2022, 2021 y 2020)
  • OWASP ASVS (versión 4.0 con niveles 1 a 3)
  • STIG
  • CASA
Ver OWASP Top 10

Tu herramienta SAST integral

Integra a la perfección el análisis estático en tu flujo de trabajo de desarrollo de software

DevOps y CI/CD

La integración de SAST en los procesos de DevOps y CI/CD permite a las organizaciones mejorar la seguridad de su software y garantizar que las vulnerabilidades se identifiquen en una fase temprana del ciclo de vida del desarrollo. Las herramientas de análisis de seguridad se convierten en una parte integral del proceso de desarrollo y reciben comentarios tempranos en tiempo real a medida que se realizan cambios en el código. Las integraciones de Sonar son compatibles con las plataformas DevOps y CI/CD más populares, como GitHub, GitLab, Azure Devops, TravisCI, CircleCI y Bitbucket. Sonar ofrece compatibilidad nativa con los SCM más populares, como Git y Subversion, y compatibilidad con la comunidad para otros SCM populares, como CVS, Jazz RTC, Mercurial y TFVC.

Decoración de solicitudes de extracción

Obtenga una revisión instantánea del código directamente dentro de su solicitud de extracción y ramas de desarrollo. Solucione los problemas antes de que se conviertan en problemas.

  • Implemente una puerta de calidad Go/No-Go para fallar automáticamente las canalizaciones CI/CD si el código no cumple con sus estándares
  • Revise y priorice las correcciones de código directamente dentro de la interfaz de la plataforma DevOps
  • Configure múltiples puertas de calidad para su monorepo con diferentes proyectos para recibir mensajes de comentarios específicos para cada proyecto

Integración IDE con SonarQube para IDE

  • Funcionalidades superiores de herramientas de calidad de código directamente en los entornos de código de los desarrolladores
  • Comentarios analíticos en tiempo real
  • Resaltado de problemas de código
  • Estándares estrictos de calidad de código, junto con detalles de problemas de vulnerabilidad y orientación para su corrección
  • Las reglas personalizables permiten a los desarrolladores codificar en función de sus requisitos específicos
  • La flexibilidad avanzada permite la adaptación y adopción por parte de los desarrolladores en múltiples lenguajes compatibles
Pacific Textiles Ltd

"Al implementar proyectos de gran envergadura con varias partes externas, resulta casi imposible mantener la calidad del código. SonarQube Server nos ha permitido mejorar la calidad de la base de código para estos grandes proyectos, especialmente al permitirnos reducir significativamente la cantidad de código duplicado. La refactorización se ha convertido en una tarea mucho más sencilla."

Hubert Tsang
Hubert Tsang, Director de Información @ Pacific Textiles Ltd

ready to secure your code?

Start Your Free Trial Now