Deeper Analysis. Unmatched Security.

14-day free trial

Deeper Analysis. Unmatched Security.

Uncover Hidden Code Vulnerabilities with SonarQube Server SAST

Comprehensive detection engine for code quality and security
Over 5000 rules for 35+ languages and frameworks
Deeper SAST coverage for Java, C#, and JavaScript/TypeScript
Branch Analysis and Pull Request decoration
Powerful secrets detection
Security Reports including OWASP, CWE Top 25, and PCI DSS
Regulatory release reports
Security Engine customization
Detection of injection flaws, cross-site scripting, deserialization issues and more

CODE SECURITY

benefits of deeper SAST

Hidden security issues

Accelerate development
Reduce risk of security breaches
Automate code scanning
Code Security and compliance
Comprehensive Detection Engine and coverage

Find deeply hidden security issues

99% of software applications use and interact with the code in third-party libraries (dependencies). Deeper SAST from Sonar extends code analysis and scanning to cover the unknown parts of the code that are in the open-source dependencies. Scanning dependencies (libraries) allows Sonar SAST to extend the dataflow analysis and find deeply hidden security issues in code that other tools cannot find. Deeper SAST is available today for Java, C#, and JavaScript/TypeScript in SonarQube Server and SonarQube Cloud.

セキュリティ分析

Sonarは、バグやセキュリティ脆弱性につながる幅広いコード問題を検出・修正するために設計されており、30以上のプログラミング言語とフレームワークをサポートしています。Sonarのセキュリティ分析は、SQLインジェクション脆弱性、クロスサイトスクリプティング（XSS）コードインジェクション攻撃、バッファオーバーフロー、認証問題、クラウドシークレット検出など、広範なセキュリティ問題の検出に役立ちます。SonarQube Server Enterprise Edition、Data Center Edition、およびSonarQube Cloud Enterprise Planでは、セキュリティルールはPCI DSS、CWE Top 25、OWASP ASVS、OWASP Top 10、STIG、CASAなどの確立されたセキュリティ基準に基づいて分類されています。

セキュリティホットスポット > コードレビュー

セキュリティホットスポットは、人間のレビューが必要なセキュリティ上問題のあるコードの箇所です。開発者はセキュリティホットスポットを扱うことで、セキュリティリスクの評価方法を学び、セキュアコーディングの実践に対する理解を深めることができます。

セキュリティ脆弱性 > コード変更/修正

セキュリティ脆弱性には即時の対応が必要です。Sonarは、コードが危険にさらされている理由を説明する詳細な問題説明とコードハイライトを提供します。ガイダンスに従い、修正をコミットしてアプリケーションを保護してください。

Chase down the bad actors

Making sure user-provided data is sanitized before it hits critical systems (database, file system, OS, etc.) helps ensure your code security. Taint analysis tracks untrusted user input throughout the execution flow - across not just methods but also from file to file.

Sonarセキュリティレポート

セキュリティレポートは、コードのセキュリティ基準への準拠状況を迅速に把握できます。SonarQube Server Enterprise Edition/Data Center EditionおよびSonarQube Cloud Enterprise Planで利用可能なこれらのレポートにより、最も一般的なセキュリティ上の過ちと比較した現状を把握できます。規制レポートは各リリースの品質を追跡し、提供されたコードが組織の品質基準を満たしていることを証明します。

レポートには以下が含まれます：

PCI DSS（バージョン4.0および3.2.1）
OWASP Top 10（バージョン2021および2017）
CWE Top 25（バージョン2022、2021、2020）
OWASP ASVS（バージョン4.0、レベル1～3）
STIG
CASA

OWASP Top 10を参照

エンドツーエンドのSASTツール

静的解析をソフトウェア開発ワークフローにシームレスに統合

DevOpsおよびCI/CD

SASTをDevOpsおよびCI/CDパイプラインに統合することで、組織はソフトウェアのセキュリティ態勢を強化し、開発ライフサイクルの早期段階で脆弱性を特定できるようになります。セキュリティ分析ツールは開発プロセスに不可欠な要素となり、コード変更をコミットする際に早期のリアルタイムフィードバックを受け取ります。 Sonarは、GitHub、GitLab、Azure DevOps、TravisCI、CircleCI、Bitbucketなど主要なDevOps/CI/CDプラットフォームとの連携をサポート。Git、Subversionなどの主要SCMをネイティブ対応し、CVS、Jazz RTC、Mercurial、TFVCなどその他主要SCMにはコミュニティサポートを提供。

プルリクエスト装飾

プルリクエストや開発ブランチ内で直接コードレビューを即時取得。問題化する前に修正を。

コードが基準を満たさない場合にCI/CDパイプラインを自動失敗させるGo/No-Go品質ゲートを実装
DevOpsプラットフォームインターフェース内で直接コード修正をレビュー・優先順位付け
モノレポ内の異なるプロジェクトごとに複数の品質ゲートを設定し、プロジェクト固有のフィードバックメッセージを受信

IDE 統合 SonarQube for IDE

開発者のコード環境に直接組み込まれた優れたコード品質ツール機能
リアルタイムの分析フィードバック
コード問題のハイライト表示
厳格なコード品質基準、脆弱性問題の詳細、修正ガイダンス
カスタマイズ可能なルールにより、開発者は特定の要件に基づいてコーディング可能
高度な柔軟性により、サポートされている複数の言語にわたって開発者の適応と採用が可能

"When implementing large projects with various external parties, it’s nearly impossible to maintain code quality. SonarQube Server has allowed us to improve the quality of the code base for these large projects — especially by allowing us to significantly reduce the amount of code duplication. Refactoring has become a much easier task."
Hubert Tsang, Chief Information Officer @ Pacific Textiles Ltd