世界中の700万人以上の開発者に信頼されています
SonarQubeは、正規表現と意味解析の強力な組み合わせを用いて、ソースコード内のシークレットを検出します。SonarQube for IDEにより、IDE上でコーディングしながらリアルタイムにスキャンする真のシフトレフト手法を採用しています。これはGitリポジトリ内の秘密情報のみを検出する他のツールとは異なります。SonarQubeはコード記述中に秘密情報を検知するため、秘密情報がリポジトリに流入する前に遮断され、漏洩を防止します。この予防的対策はCI/CDパイプラインにも拡張され、自動化された品質ゲートによりリスクのある変更の統合を防ぎます。
SonarQubeの包括的な機密検出機能は、一般的なソリューションを超えた性能を発揮します。248のクラウドサービスと1,000以上のAPIを対象に、400を超える機密パターンを特定する340以上のルールを備えています。シグナルに焦点を当てた分析により、開発者にとって正確でノイズの少ない結果を保証します。
シークレット検出スキャンは通常のコードスキャンと同時に実行され、スキャン処理時間に顕著な影響を与えません。この並列化されたアプローチに�より、開発者の生産性を維持しつつ、CI/CDパイプラインにおける継続的なセキュリティカバレッジを確保します。
SonarQubeは、SonarQube for IDEを使用してIDE内で、またSonarQube ServerまたはSonarQube Cloudを使用してリポジトリおよびCI/CDパイプライン内で機密情報の検出を行います。このシフトレフトアプローチにより、コミット前に情報漏洩を防止します。CI/CDの品質ゲートは、開発者の作業速度を維持しつつ、リスクの高いマージを防止します。
SonarQubeの機密情報検出機能は、誤検知率5%未満を実現しています。これは精度を確保し開発者の信頼を維持する上で極めて重要です。一貫してノイズの少ない検出結果により、チームは迅速に対応でき、アラート疲労を軽減し、不要な障害なくCI/CDパイプラインを継続的に稼働させられます。
SonarQubeのシークレット検出エンジンは、処理が長引いた場合に自動的に終了する組み込みの安全装置により、暴走やオーバーフローを回避します。この設計による安定性により、スキャンが予測可能に保たれ、CI/CDパイプラインのスループットが維持され、開発者がハングや過剰な分析によってブロックされることがありません。
SonarQubeの機密情報検出コードとルールは、コミュニティからの貢献を目的としてオープンソースとして公開されています。透明性の高いルール定義により、迅速な改善、広範なカバレッジ、開発者とセキュリティチーム双方に利益をもたらすベストプラクティスの共有が実現します。貢献方法はこちら!
Secrets検出機能はSonarQube for IDEに無料で付属し、SonarQube ServerおよびSonarQube Cloudの商用版にも追加費用なしで含まれます。追加ライセンスなしで開発者を迅速に活用可能にし、チーム間およびCI/CDパイプライン全体での導入を簡素化します。
エクスポート可能なレポート、過去の傾向、追跡可能な是正活動により予防的制御を実証します。CI/CDパイプラインのチェック、一貫したポリシー、文書化された結果に関する明確な証拠を監査人に提供し、コンプライアンス審査を簡素化します。
公開されているシークレットはシークレットの大部分をカバーしますが、構造や形式が自社固有の企業固有シークレットも少なくありません。SonarQube Server Enterprise EditionおよびData Center Editionでカスタムルールを作成し、自社の非公開シークレットパターンを検出。最大100%のシークレット検出カバレッジを実現します。
Sonarは、シークレットを含むコードを開発者に教育することで一歩先を行きます。各シークレット検出ルールには、検出されたコードセグメントがシークレットである理由と、そのシークレットがセキュリティリスクをもたらす影響の詳細を説明するコンテンツが含まれています。これで開発者は、コードにシークレットを含めない方法を理解できます。素晴らしいと思いませんか?
より優れた、安全なコードを提供できる準備はできていますか? 貴社に最適なSonarQube導入を、今日から始めましょう。
