Advanced SAST

Trace data flow across your dependencies to uncover deeply hidden vulnerabilities

SonarQube's Advanced SAST extends deep analysis(taint analysis) beyond your first-party code, into third-party open source libraries. This unique capability traces data flow across code boundaries to uncover hidden, complex vulnerabilities that arise specifically from interacting with external libraries.

CommencerContact sales

Go deeper with advanced SAST

Sonar’s advanced static application security testing (SAST) capability, included in SonarQube Advanced Security, empowers organizations to identify and resolve application code vulnerabilities and issues originating from interactions with third-party open-source libraries. This unique dependency-aware analysis enables developers to trace data flow in and out of libraries, effectively uncovering deeply concealed security vulnerabilities that other tools fail to detect. 

SonarQube’s powerful SAST already includes deep taint analysis and comprehensive security rules aligned with standards like OWASP Top 10 and CWE Top 25.  Advanced SAST augments this foundation by addressing the security gap in the modern software that relies on third-party dependencies. This innovative capability extends the range of coverage by providing full visibility into the inner workings of the most popular open source libraries across major programming languages

With SonarQube's advanced SAST, organizations can confidently tackle code security challenges, achieve robust application security, and enjoy the benefits of a reliable, high-quality, and fortified codebase. Augment your static code analysis with SCA to mitigate open-source risk and deliver a developer-first, defense in depth approach across the SDLC-all within one integrated platform.

Try advanced SAST with SonarQube
advanced sast digs into code
CODE SECURITY

Advanced SAST benefits

Icon

Détectez les problèmes de sécurité profondément cachés

99 % des applications logicielles utilisent et interagissent avec le code de bibliothèques tierces (dépendances). Aujourd'hui, la plupart des outils SAST analysent uniquement le code des applications et non celui des bibliothèques, qui constituent pour eux une boîte noire. Le SAST avancé de Sonar étend l'analyse et l'analyse du code pour couvrir les parties inconnues du code qui se trouvent dans les dépendances open source. L'analyse des dépendances (bibliothèques) permet à Sonar SAST d'étendre l'analyse des flux de données et de détecter des problèmes de sécurité profondément cachés dans le code que d'autres outils ne peuvent pas trouver. Le SAST avancé est aujourd'hui disponible pour Java, C# et JavaScript/TypeScript dans SonarQube Server et SonarQube Cloud. Il prend en charge des milliers de bibliothèques open source parmi les plus utilisées, y compris leurs dépendances (transitives) ultérieures. Il s'adapte automatiquement et sera étendu à d'autres langages et bibliothèques à l'avenir. L'apprentissage automatique (ML) est utilisé à des fins d'optimisation.

Analyse de sécurité

Conçu pour détecter et corriger un large éventail de problèmes de code pouvant entraîner des bogues et des vulnérabilités de sécurité, Sonar prend en charge plus de 30 langages de programmation et frameworks. L'analyse de sécurité de Sonar peut aider à détecter un large éventail de problèmes de sécurité, tels que les vulnérabilités d'injection SQL, les attaques par injection de code de type cross-site scripting (XSS), les débordements de tampon, les problèmes d'authentification, la détection de secrets dans le cloud, et bien plus encore. Dans SonarQube Server Enterprise Edition et Data Center Edition, ainsi que dans SonarQube Cloud Enterprise Plan, nos règles de sécurité sont classées selon des normes de sécurité bien établies telles que PCI DSS, CWE Top 25, OWASP ASVS, OWASP Top 10, STIG et CASA.

Header image
Points sensibles en matière de sécurité > révision du codeSecurity hotspots > code review image

Points sensibles en matière de sécurité > révision du codeSecurity hotspots > code review

Les points sensibles en matière de sécurité sont des instances de code sensibles sur le plan de la sécurité qui nécessitent une révision humaine. Les développeurs peuvent apprendre à évaluer les risques de sécurité et améliorer leur compréhension des pratiques de codage sécurisé en travaillant avec les points sensibles en matière de sécurité.

Vulnérabilités de sécurité > modification/correction du code image

Vulnérabilités de sécurité > modification/correction du code

Les vulnérabilités de sécurité nécessitent une action immédiate. Sonar fournit des descriptions détaillées des problèmes et des surlignages de code qui expliquent pourquoi votre code est à risque. Il vous suffit de suivre les instructions, d'enregistrer une correction et de sécuriser votre application.

Protection maximale grâce à l'analyse de contamination

Traquez les acteurs malveillants

En vous assurant que les données fournies par les utilisateurs sont nettoyées avant d'atteindre les systèmes critiques (base de données, système de fichiers, système d'exploitation, etc.), vous contribuez à garantir la sécurité de votre code. L'analyse de contamination suit les entrées utilisateur non fiables tout au long du flux d'exécution, non seulement entre les méthodes, mais aussi d'un fichier à l'autre.

Découvrez plus de fonctionnalités
Image

Règles de sécurité critiques pour les langages essentiels

Obtenez des règles hautement pertinentes pour les langages critiques afin de sécuriser votre code à l'aide des outils SAST.

Langages tels que Java, PHP, C#, C, C++, Python, JavaScript, TypeScript, etc.

Découvrez tous les langages
Image
SÉCURITÉ DU CODE

Retour d'information rapide sur la sécurité, développeurs responsabilisés

PRENEZ LES CHOSES EN MAIN

Retour d'information en temps réel

Obtenir un retour d'information sur la sécurité lors de la révision du code est l'occasion d'en apprendre davantage et de prendre en main la sécurité du code.

jeff leaves a note about code issues

Rapports de sécurité Sonar

Les rapports de sécurité vous donnent rapidement une vue d'ensemble de la conformité de votre code aux normes de sécurité. Disponibles dans SonarQube Server Enterprise Edition et Data Center Edition ainsi que dans SonarQube Cloud Enterprise Plan, ces rapports de sécurité vous permettent de savoir où vous en êtes par rapport aux erreurs de sécurité les plus courantes. Les rapports réglementaires permettent de suivre la qualité de chaque version et fournissent la preuve que le code livré répond aux normes de qualité de l'organisation.

Les rapports comprennent :

  • PCI DSS (versions 4.0 et 3.2.1)
  • OWASP Top 10 (versions 2021 et 2017)
  • CWE Top 25 (versions 2022, 2021 et 2020)
  • OWASP ASVS (version 4.0 avec niveaux 1 à 3)
  • STIG
  • CASA
Voir OWASP Top 10
Image

Votre outil SAST de bout en bout

Intégrez de manière transparente l'analyse statique dans votre workflow de développement logiciel

DevOps et CI/CD

L'intégration de SAST dans les pipelines DevOps et CI/CD permet aux organisations d'améliorer la sécurité de leurs logiciels et de s'assurer que les vulnérabilités sont identifiées dès le début du cycle de développement. Les outils d'analyse de sécurité font partie intégrante du processus de développement et reçoivent des commentaires en temps réel dès que des modifications de code sont validées. Les intégrations Sonar sont prises en charge pour les plateformes DevOps et CI/CD populaires, notamment GitHub, GitLab, Azure Devops, TravisCI, CircleCI et Bitbucket. Sonar fournit une prise en charge native des SCM les plus populaires, notamment Git et Subversion, ainsi qu'une prise en charge communautaire pour d'autres SCM populaires tels que CVS, Jazz RTC, Mercurial et TFVC.

Image

Décoration des pull requests

Obtenez une révision instantanée du code directement dans vos pull requests et vos branches de développement. Corrigez les problèmes avant qu'ils ne deviennent des problèmes.

  • Mettez en place un contrôle qualité Go/No-Go pour faire échouer automatiquement les pipelines CI/CD si le code ne répond pas à vos normes.
  • Vérifiez et hiérarchisez les corrections de code directement dans l'interface de la plateforme DevOps.
  • Configurez plusieurs contrôles qualité pour votre monorepo avec différents projets afin de recevoir des messages de commentaires spécifiques pour chaque projet.

Intégration IDE avec SonarQube pour IDE

  • Des fonctionnalités supérieures en matière d'outils de qualité du code directement dans les environnements de code des développeurs
  • Retour analytique en temps réel
  • Mise en évidence des problèmes de code
  • Normes strictes en matière de qualité du code, accompagnées de détails sur les vulnérabilités et de conseils pour y remédier
  • Des règles personnalisables permettent aux développeurs de coder en fonction de leurs exigences spécifiques
  • Une flexibilité avancée permet aux développeurs de s'adapter et d'adopter plusieurs langages pris en charge
Security Architect

"Sonar has helped our organization by enabling us to maintain code standards and code cleanliness."

Ricky LopezSecurity Architect/AppSec Manager

Lire les témoignages de clients

Prêt à sécuriser votre code ?

Prise en main de l’open sourceCommencez votre essai en entreprise

SAST FAQs

How does advanced SAST find vulnerabilities traditional tools can’t?

Traditional tools create a “black box” around third-party libraries, but Advanced SAST eliminates this blind spot. It extends taint analysis to trace the flow of data into and out of open source dependencies. By seeing how your code interacts with the library code, it uncovers deeply hidden, complex vulnerabilities that traditional static application testing(SAST) tools miss.

How does advanced SAST work?

Advanced SAST focuses on analyzing the interaction between your first-party code and the third-party libraries. It does not search for existing vulnerabilities inside the third-party library code. It pre-scans popular source libraries to create a knowledge base of security sensitive points- like where data enters or leaves a function. Then during the project analysis, it checks if your code is misusing those library functions in a way that creates a vulnerability in your application. 

Why do I need advanced SAST if I already use software composition analysis(SCA)?

SCA focuses on identifying known, public vulnerabilities(CVEs) within a library itself. Advanced SAST solves a different challenge; vulnerabilities that arise from the interaction between your code and third-party library code. By enabling both Advanced SAST and SCA, you get full, integrated visibility of risks that neither tool can provide alone.

What is a real-world example of a vulnerability found by Advanced SAST?

A notable example is the critical Jenkins vulnerability(CVE-2024-23897), which was caused by the insecure interaction between Jenkins code and an imported third-party library. The core issue wasn’t in either piece of the code, but in their combination. Only Advanced SAST would be capable of analyzing this specific interaction to correctly identify and raise the security vulnerability.

How are scan results and remediation suggestions presented to developers using SonarQube's SAST?

Scan results from SonarQube's SAST solution are presented in clear, actionable reports that highlight discovered vulnerabilities and suggest remediation steps. Developers receive this feedback either directly within their IDE or through integrated dashboards, making it easy to incorporate fixes promptly into their workflow.

Actionable suggestions guide developers to resolve security issues while adhering to best practices for writing quality code. By breaking down vulnerabilities to the source and recommending proper fixes, SonarQube helps bridge the gap between detection and remediation, empowering teams to reduce risk efficiently.

What makes SonarQube’s approach to quality code unique compared to other SAST solutions?

SonarQube's SAST solution stands out for its commitment to enhancing both security and maintainability within the codebase. The solution encourages developers to address not only immediate vulnerabilities but also code quality issues such as code duplication, complexity, and outdated patterns. This dual focus ensures that security improvements go hand-in-hand with sustainable development practices.

By integrating security checks into daily coding activities and emphasizing actionable feedback, SonarQube helps teams create high-quality software that evolves with changing requirements and technology landscapes. The holistic approach ensures that code is prepared for future innovation while staying secure and robust.

How often should SAST scans be run to maintain quality code in a rapidly changing codebase?

Security and quality are best maintained when SAST scans are run continuously throughout the development lifecycle. SonarQube supports automated, incremental scans with every code commit, merge request, or build, ensuring that new vulnerabilities and quality issues are detected as soon as they are introduced.

This frequent analysis allows teams to catch problems early, avoid technical debt, and keep codebases secure without slowing down delivery. By integrating SAST into the regular rhythm of development, organizations can sustain high standards for quality code and adapt quickly to new risks and challenges.

What’s the difference between SAST and DAST?

Static Application Security Testing (SAST) analyzes an application’s source code, bytecode, or binaries to find security vulnerabilities before the app runs. It’s performed early in the SDLC (pre-production), integrates with IDEs and CI pipelines, and flags issues at the line-of-code level (e.g., injection risks, insecure APIs). Fixes are typically faster because developers get precise locations and remediation guidance.

Dynamic Application Security Testing (DAST) tests a running application from the outside-in, simulating an attacker’s perspective. It requires a deployed (staging or production-like) environment and detects exploitable issues at runtime (e.g., broken authentication, misconfigurations, server errors). Findings reflect real behaviors and are less prone to false positives, but the root cause in code is less direct and fixes can take longer.