包括的なコードカバレッジ
ファーストパーティ、サードパーティ、AI 生成コードにわたる 30 以上の言語 (およびフレームワーク) の完全なコード品質とコード セキュリティ分析
統合されたコード品質とコードセキュリティ
アプリケーションセキュリティはコードから始まる
ファーストパーティ、サードパーティ、そしてその間のあらゆるものを含む、コードベース全体を保護します。SonarQubeはワークフローにシームレスに統合され、高速、正確、精密な自動セキュリティ分析によって脆弱性を検出し、修正します。
700万人の開発者と40万社以上の企業に愛用されています
当社のセキュリティソリューション
SonarQubeは、IDEからCI/CDに至るまで、開発者のワークフローにシームレスに統合され、高度なSAST、SCA、IaCスキャン、シークレット検出を通じて、統合されたコード品質とセキュリティを実現します。数百万人の開発者から信頼されており、ファーストパーティ、AI生成、サードパーティのコードを包括的にカバーします。問題を早期に自動検出することで、問題をより迅速に解決し、手戻りを削減し、安全で信頼性の高いソフトウェアを自信を持って提供できます。
含まれています
SAST
静的アプリケーション セキュリティ テスト (SAST) は、ソース コードを分析して脆弱性、セキュリティ ホットスポット、欠陥を検出し、SDLC の早い段階でセキュリティの問題を検出します。
もっと詳しく知る >
含まれています
汚染分析
コードベース全体のデータフロー分析を使用して信頼できないユーザー入力を追跡し、インジェクションやその他の重大なセキュリティ脆弱性を特定します。
もっと詳しく知る >
含まれています
秘密の検出
ソースコード内の秘密が漏洩すると、個人データやサービスへの不正アクセスによりセキュリティ上の脆弱性が生じる可能性があります。
もっと詳しく知る >
含まれています
IaCスキャン
Infrastructure as Code (IaC) スキャンは、展開前にインフラストラクチャ定義内の構成ミスやセキュリティ上の問題を検出します。
もっと詳しく知る >
高度なセキュリティ
高度な SAST
高度な SAST は汚染分析を拡張し、従来のツールでは検出できなかった依存関係から、コードとサードパーティのコードの相互作用における隠れた脆弱性を明らかにします。
もっと詳しく知る >
高度なセキュリティ
SCA
ソフトウェア構成分析は、サードパーティの依存関係の脆弱性をスキャンし、オープンソースコンポーネントがリスクを導入しないことを保証します。
もっと詳しく知る >
主な利点
包括的なコードカバレッジ
広範な検出と修復
比類のない精度とスピード
開発ワークフローの左から始める
コンプライアンスのニーズを満たす
SASTとSonarQube Serverについて詳しくは、専門家にお問い合わせください。
静的アプリケーションセキュリティテスト(SAST)
当社のSASTエンジンは、開発ワークフロー内の重大な脆弱性を自動的に検出し、本番環境に到達する前に阻止します。
- 幅広い言語サポート: Java、JavaScript、Python、C++、C#など、主要なプログラミング言語を網羅しています。
- シームレスなワークフロー統合: コンテキストを切り替えることなく、IDEやCI/CDパイプライン内で直接フィードバックを取得できます。
- 迅速な修正:明確なガイダンスとAI搭載のCodeFix提案により、問題をより速く解決します。
- カスタマイズ可能なポリシー:カスタム検出ルールを作成し、組織固有のセキュリティ基準を適用します。
汚染分析
当社の汚染分析エンジンは、アプリケーション コードのレイヤーを通過する複雑なデータ フローを追跡し、信頼できないソースから機密性の高いシンクに至るまでの潜在的なセキュリティの脆弱性を特定します。
- SQLインジェクション、XSS、SSRF、デシリアライゼーション、その他のインジェクション脆弱性の検出
- 誤検知を減らすために、関数間およびファイル間の高度で正確なデータフロー分析を実施
- 一般的なフレームワークのセキュリティ制御を理解するフレームワーク対応スキャン
高度な SAST
当社の高度な静的解析機能は、従来のSASTを凌駕し、誤検知率を低減しながら、深く潜むセキュリティ脆弱性を発見します。高度なSASTは、アプリケーションコードとサードパーティ(オープンソース)コードの相互作用によって生じる、より深く複雑な脆弱性を特定するのに役立ちます。
- ソースとシンク間のフローを理解する外部依存関係を考慮し�たSAST分析
- サードパーティのライブラリを深く調べて、見つけにくい脆弱性を検出するクロスファイル汚染分析
- 高速かつ正確な分析にもかかわらず、設定は必要なく、オーバーヘッドもありません
- Java、C#、JavaScript、TypeScriptで利用可能
ソフトウェア構成分析(SCA)
ソフトウェア サプライ チェーンを分析し、脆弱性を特定し、ライセンス コンプライアンスを確保することで、チームはコードベースを積極的に保護し、サードパーティの依存関係に関連するリスクを軽減できます。
- 脆弱性の特定: サードパーティのオープンソース依存関係におけるサードパーティの脆弱性 (CVE を含む) を追跡、管理、軽減するための合理化されたプロセス
- ライセンスコンプライアンス: 組み込まれたすべてのコンポーネントが組織の許可されたソフトウェアライセンスのポリシーを満たしていることを確認する
- SBOM(ソフトウェア部品表):チームがコードの構成を理解し、管理し、報告するのに役立つ詳細なインベントリ
秘密の検出
包括的なシークレット検出機能により、機密情報の偶発的な漏洩を防止します。SonarQubeは、SonarQube for IDEを使用してIDEのソースコード内のシークレットを検出できるだけでなく、SonarQube (Server and Cloud)を使用してCI/CDパイプライン内のシークレットを検出できます。
- 一般的なテクノロジーとプロバイダーをすべて網羅する数百のルールと秘密パターンを使用して、APIキー、パスワード、トークン、その他の機密データを検出します。
- 正規表現と意味解析の強力な組み合わせを使用して秘密を検出します
- プライベートサービスにおける組織固有の秘密情報のカスタムパターン検出
- IDE でコード内の秘密を直接検出し、リポジトリへの侵入を防止します。
インフラストラクチャ・アズ・コード(IaC)スキャン
インフラストラクチャ アズ コード (IaC) 内のセキュリティ構成ミスを検出し、安全な運用環境を確保します。
- Terraform、CloudFormation、Azure Resource Manager、Kubernetes マニフェスト、Ansible のサポート
- インフラストラクチャ定義における誤った構�成とセキュリティリスクの検出
- 実用的な高精度の分析結果を受け取る
チームに必須のアイテム
開発者によって開発者のために構築され、組織から信頼されています。
750 Billion
lines of code analyzed every day
110,000+
active projects
6,000+
coding rules available
今すぐ開発パイプラインを確保しましょう
