SonarQube_General.svg

Deeper Analysis. Unmatched Security.

14-day free trial

Select a country
Select # of Developers
I already use SonarQube Community Build
I do not wish to receive promotional emails about upcoming SonarQube updates, new releases, news and events.

By submitting this form, you agree to the storing and processing of your personal data as described in the Privacy Policy and Cookie Policy. You can withdraw your consent by unsubscribing at any time.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Deeper Analysis. Unmatched Security.

Uncover Hidden Code Vulnerabilities with SonarQube Server SAST

  • Comprehensive detection engine for code quality and security
  • Over 5000 rules for 35+ languages and frameworks
  • Deeper SAST coverage for Java, C#, and JavaScript/TypeScript
  • Branch Analysis and Pull Request decoration
  • Powerful secrets detection
  • Security Reports including OWASP, CWE Top 25, and PCI DSS
  • Regulatory release reports
  • Security Engine customization
  • Detection of injection flaws, cross-site scripting, deserialization issues and more
CODE SECURITY

benefits of deeper SAST

  • Hidden security issues

  • Accelerate development

  • Reduce risk of security breaches

  • Automate code scanning

  • Code Security and compliance

  • Comprehensive Detection Engine and coverage

Find deeply hidden security issues

99% of software applications use and interact with the code in third-party libraries (dependencies). Deeper SAST from Sonar extends code analysis and scanning to cover the unknown parts of the code that are in the open-source dependencies. Scanning dependencies (libraries) allows Sonar SAST to extend the dataflow analysis and find deeply hidden security issues in code that other tools cannot find. Deeper SAST is available today for Java, C#, and JavaScript/TypeScript in SonarQube Server and SonarQube Cloud.

Analyse de sécurité

Conçu pour détecter et corriger un large éventail de problèmes de code pouvant entraîner des bogues et des vulnérabilités de sécurité, Sonar prend en charge plus de 30 langages de programmation et frameworks. L'analyse de sécurité de Sonar peut aider à détecter un large éventail de problèmes de sécurité, tels que les vulnérabilités d'injection SQL, les attaques par injection de code de type cross-site scripting (XSS), les débordements de tampon, les problèmes d'authentification, la détection de secrets dans le cloud, et bien plus encore. Dans SonarQube Server Enterprise Edition et Data Center Edition, ainsi que dans SonarQube Cloud Enterprise Plan, nos règles de sécurité sont classées selon des normes de sécurité bien établies telles que PCI DSS, CWE Top 25, OWASP ASVS, OWASP Top 10, STIG et CASA.

Image for Points sensibles en matière de sécurité > révision du codeSecurity hotspots > code review

Points sensibles en matière de sécurité > révision du codeSecurity hotspots > code review

Les points sensibles en matière de sécurité sont des instances de code sensibles sur le plan de la sécurité qui nécessitent une révision humaine. Les développeurs peuvent apprendre à évaluer les risques de sécurité et améliorer leur compréhension des pratiques de codage sécurisé en travaillant avec les points sensibles en matière de sécurité.

Image for Vulnérabilités de sécurité > modification/correction du code

Vulnérabilités de sécurité > modification/correction du code

Les vulnérabilités de sécurité nécessitent une action immédiate. Sonar fournit des descriptions détaillées des problèmes et des surlignages de code qui expliquent pourquoi votre code est à risque. Il vous suffit de suivre les instructions, d'enregistrer une correction et de sécuriser votre application.

Chase down the bad actors

Making sure user-provided data is sanitized before it hits critical systems (database, file system, OS, etc.) helps ensure your code security. Taint analysis tracks untrusted user input throughout the execution flow - across not just methods but also from file to file.

Visual Represents taint analysis

Rapports de sécurité Sonar

Les rapports de sécurité vous donnent rapidement une vue d'ensemble de la conformité de votre code aux normes de sécurité. Disponibles dans SonarQube Server Enterprise Edition et Data Center Edition ainsi que dans SonarQube Cloud Enterprise Plan, ces rapports de sécurité vous permettent de savoir où vous en êtes par rapport aux erreurs de sécurité les plus courantes. Les rapports réglementaires permettent de suivre la qualité de chaque version et fournissent la preuve que le code livré répond aux normes de qualité de l'organisation.

Les rapports comprennent :

  • PCI DSS (versions 4.0 et 3.2.1)
  • OWASP Top 10 (versions 2021 et 2017)
  • CWE Top 25 (versions 2022, 2021 et 2020)
  • OWASP ASVS (version 4.0 avec niveaux 1 à 3)
  • STIG
  • CASA
Voir OWASP Top 10

Votre outil SAST de bout en bout

Intégrez de manière transparente l'analyse statique dans votre workflow de développement logiciel

DevOps et CI/CD

L'intégration de SAST dans les pipelines DevOps et CI/CD permet aux organisations d'améliorer la sécurité de leurs logiciels et de s'assurer que les vulnérabilités sont identifiées dès le début du cycle de développement. Les outils d'analyse de sécurité font partie intégrante du processus de développement et reçoivent des commentaires en temps réel dès que des modifications de code sont validées. Les intégrations Sonar sont prises en charge pour les plateformes DevOps et CI/CD populaires, notamment GitHub, GitLab, Azure Devops, TravisCI, CircleCI et Bitbucket. Sonar fournit une prise en charge native des SCM les plus populaires, notamment Git et Subversion, ainsi qu'une prise en charge communautaire pour d'autres SCM populaires tels que CVS, Jazz RTC, Mercurial et TFVC.

Décoration des pull requests

Obtenez une révision instantanée du code directement dans vos pull requests et vos branches de développement. Corrigez les problèmes avant qu'ils ne deviennent des problèmes.

  • Mettez en place un contrôle qualité Go/No-Go pour faire échouer automatiquement les pipelines CI/CD si le code ne répond pas à vos normes.
  • Vérifiez et hiérarchisez les corrections de code directement dans l'interface de la plateforme DevOps.
  • Configurez plusieurs contrôles qualité pour votre monorepo avec différents projets afin de recevoir des messages de commentaires spécifiques pour chaque projet.

Intégration IDE avec SonarQube pour IDE

  • Des fonctionnalités supérieures en matière d'outils de qualité du code directement dans les environnements de code des développeurs
  • Retour analytique en temps réel
  • Mise en évidence des problèmes de code
  • Normes strictes en matière de qualité du code, accompagnées de détails sur les vulnérabilités et de conseils pour y remédier
  • Des règles personnalisables permettent aux développeurs de coder en fonction de leurs exigences spécifiques
  • Une flexibilité avancée permet aux développeurs de s'adapter et d'adopter plusieurs langages pris en charge
Pacific Textiles Ltd

« Lors de la mise en œuvre de grands projets avec diverses parties externes, il est presque impossible de maintenir la qualité du code. SonarQube Server nous a permis d'améliorer la qualité de la base de code de ces grands projets, notamment en nous permettant de réduire considérablement la quantité de duplication de code. est devenue une tâche beaucoup plus facile. »

Hubert Tsang
Hubert Tsang, Directeur de l'Information @ Pacific Textiles Ltd

ready to secure your code?

Start Your Free Trial Now