高度なSAST

他社SASTツールが見逃す脆弱性を検出

Sonarの高度なSASTはコードを超え、サードパーティライブラリの動作を分析し、本番環境到達前に深く隠れたセキュリティリスクを明らかにします。

導入を開始お問い合わせ
SAST
  • デモをリクエスト
  • 製品ツアーに参加する
  • Sonar コミュニティ
  • 連絡

高度なSASTでさらに深く

SonarQube Advanced Securityに含まれるSonarの高度なSAST機能により、組織はサードパーティのオープンソースライブラリとの相互作用に起因するアプリケーションコードの問題を特定・解決できます。この独自の機能により、SonarのSASTはライブラリへのデータ流入・流出を追跡し、他のツールでは検出できない深く隠されたセキュリティ脆弱性を効果的に発見します。

高度なSASTは、既存のSASTエンジンを強化します。既存エンジンは既に深い汚染分析、包括的なセキュリティルール、クラウドシークレット検出などを網羅しています。この革新的な技術により、SonarQube ServerおよびSonarQube Cloudの商用版は、最も普及しているライブラリの内部動作を完全に可視化し、比類のないコード分析を実現します。

Sonarの高度なSASTにより、組織はコードセキュリティの課題に自信を持って取り組み、堅牢なアプリケーションセキュリティを実現し、信頼性と強化されたコードベースの恩恵を享受できます。

SonarQubeで高度なSASTをお試しください
コードセキュリティ

高度なSASTのメリット

  • 深く隠されたセキュリティ問題を発見

  • セキュア開発の加速

  • セキュリティ侵害のリスクを低減

  • コードスキャンの自動化

  • コードセキュリティとコンプライアンス

  • 包括的な検出エンジンとカバレッジ

深く隠されたセキュリティ問題を発見

ソフトウェアアプリケーションの99%は、サードパーティライブラリ(依存関係)のコードを使用し、相互作用しています。現在、ほとんどのSASTツールはアプリケーションコードのみを分析し、ライブラリコード(これらのツールにとってほぼブラックボックス)は対象外です。SonarのAdvanced SASTは、オープンソース依存関係に含まれる未知のコード部分まで分析とスキャンを拡張します。依存関係(ライブラリ)をスキャンすることで、Sonar SASTはデータフロー分析を拡張し、他のツールでは検出できないコード内の深く隠れたセキュリティ問題を発見します。高度なSASTは現在、SonarQube ServerおよびSonarQube CloudにおいてJava、C#、JavaScript/TypeScript向けに提供されています。上位かつ一般的に使用される数千ものオープンソースライブラリ(それらの派生(トランジティブ)依存関係を含む)をサポートします。自動的にスケーリングされ、将来的にはより多くの言語やライブラリをカバーするよう拡張される予定です。最適化には機械学習(ML)が活用されています。

セキュリティ分析

Sonarは、バグやセキュリティ脆弱性につながる幅広いコード問題を検出・修正するために設計されており、30以上のプログラミング言語とフレームワークをサポートしています。Sonarのセキュリティ分析は、SQLインジェクション脆弱性、クロスサイトスクリプティング(XSS)コードインジェクション攻撃、バッファオーバーフロー、認証問題、クラウドシークレット検出など、広範なセキュリティ問題の検出に役立ちます。SonarQube Server Enterprise Edition、Data Center Edition、およびSonarQube Cloud Enterprise Planでは、セキュリティルールはPCI DSS、CWE Top 25、OWASP ASVS、OWASP Top 10、STIG、CASAなどの確立されたセキュリティ基準に基づいて分類されています。

Image for セキュリティホットスポット > コードレビュー

セキュリティホットスポット > コードレビュー

セキュリティホットスポットは、人間のレビューが必要なセキュリティ上問題のあるコードの箇所です。開発者はセキュリティホットスポットを扱うことで、セキュリティリスクの評価方法を学び、セキュアコーディングの実践に対する理解を深めることができます。

Image for セキュリティ脆弱性 > コード変更/修正

セキュリティ脆弱性 > コード変更/修正

セキュリティ脆弱性には即時の対応が必要です。Sonarは、コードが危険にさらされている理由を説明する詳細な問題説明とコードハイライトを提供します。ガイダンスに従い、修正をコミットしてアプリケーションを保護してください。

汚染分析による最大限の保護

悪意ある要素を追跡

ユーザー提供データが重要なシステム(データベース、ファイルシステム、OSなど)に到達する前にサニタイズされることを保証することで、コードのセキュリティを確保します。汚染分析は、メソッド間だけでなくファイル間にもわたる実行フロー全体で、信頼できないユーザー入力を追跡します。

その他の機能

主要言語向け重要コードセキュリティルール

SASTツールでコードの安全性を維持するため、主要言語向けに高度に関連性の高いルールを提供します。

Java、PHP、C#、C、C++、Python、JavaScript、TypeScriptなど。

Explore all languages

コードセキュリティ

早期のセキュリティフィードバック、開発者のエンパワーメント

責任の所在を明確に

リアルタイムフィードバック

コードレビュー中にセキュリティフィードバックを得ることは、コードセキュリティについて学び、責任を持つ絶好の機会です。

jeff leaves a note about code issues
IDE統合

SonarQube for IDEとの連携モード

SonarQube ServerまたはSonarQube Cloudによる静的アプリケーションセキュリティテスト(SAST)を活用して脆弱性とセキュリティホットスポットを発見し、SonarQube for IDEをガイドとしてIDE内で修正します。

sonar working with jetbrains, eclipse, vs and vs code
品質ゲート

安全なコード

品質ゲートで脆弱性基準とセキュリティホットスポットのレビューを強制し、安全なコードのみをマージするようにします。

coding issues are resolved
安全性を維持

セキュリティルールの解説

問題とその影響を深く理解することで、より優れた修正とより安全なアプリケーションが実現します。

Sonarセキュリティレポート

セキュリティレポートは、コードのセキュリティ基準への準拠状況を迅速に把握できます。SonarQube Server Enterprise Edition/Data Center EditionおよびSonarQube Cloud Enterprise Planで利用可能なこれらのレポートにより、最も一般的なセキュリティ上の過ちと比較した現状を把握できます。規制レポートは各リリースの品質を追跡し、提供されたコードが組織の品質基準を満たしていることを証明します。

レポートには以下が含まれます:

  • PCI DSS(バージョン4.0および3.2.1)
  • OWASP Top 10(バージョン2021および2017)
  • CWE Top 25(バージョン2022、2021、2020)
  • OWASP ASVS(バージョン4.0、レベル1~3)
  • STIG
  • CASA
OWASP Top 10を参照

エンドツーエンドのSASTツール

静的解析をソフトウェア開発ワークフローにシームレスに統合

DevOpsおよびCI/CD

SASTをDevOpsおよびCI/CDパイプラインに統合することで、組織はソフトウェアのセキュリティ態勢を強化し、開発ライフサイクルの早期段階で脆弱性を特定できるようになります。セキュリティ分析ツールは開発プロセスに不可欠な要素となり、コード変更をコミットする際に早期のリアルタイムフィードバックを受け取ります。 Sonarは、GitHub、GitLab、Azure DevOps、TravisCI、CircleCI、Bitbucketなど主要なDevOps/CI/CDプラットフォームとの連携をサポート。Git、Subversionなどの主要SCMをネイティブ対応し、CVS、Jazz RTC、Mercurial、TFVCなどその他主要SCMにはコミュニティサポートを提供。

プルリクエスト装飾

プルリクエストや開発ブランチ内で直接コードレビューを即時取得。問題化する前に修正を。

  • コードが基準を満たさない場合にCI/CDパイプラインを自動失敗させるGo/No-Go品質ゲートを実装
  • DevOpsプラットフォームインターフェース内で直接コード修正をレビュー・優先順位付け
  • モノレポ内の異なるプロジェクトごとに複数の品質ゲートを設定し、プロジェクト固有のフィードバックメッセージを受信

IDE 統合 SonarQube for IDE

  • 開発者のコード環境に直接組み込まれた優れたコード品質ツール機能
  • リアルタイムの分析フィードバック
  • コード問題のハイライト表示
  • 厳格なコード品質基準、脆弱性問題の詳細、修正ガイダンス
  • カスタマイズ可能なルールにより、開発者は特定の要件に基づいてコーディング可能
  • 高度な柔軟性により、サポートされている複数の言語にわたって開発者の適応と採用が可能
Security Architect

"Sonar has helped our organization by enabling us to maintain code standards and code cleanliness."

Ricky Lopez, Security Architect/AppSec ManagerGrupo Financiero Banorte

顧客事例を読む
Grupo Financiero Banorte
Security Architect

Ricky Lopez, Security Architect/AppSec Manager

"Sonar has helped our organization by enabling us to maintain code standards and code cleanliness."

コードのセキュリティ確保の準備はできていますか?

bottom wave

Frequently asked questions

Sonar's SAST solution is designed to identify and remediate security vulnerabilities in source code before applications are deployed. By conducting automated analysis across multiple programming languages and frameworks, the solution helps developers catch issues such as SQL injection, cross-site scripting, and code injection early in the software development lifecycle. This proactive approach enables teams to build more secure software and reduces the risk of breaches after release.

By fostering a shift-left security mindset, Sonar's SAST supports the development of quality code by integrating seamlessly into DevOps workflows and popular IDEs. Developers receive actionable feedback directly within their coding environment, allowing them to fix security flaws and adhere to best practices as part of their regular coding process. This results in more robust, secure, and maintainable codebases and enhances overall software quality.

  • Follow SonarSource on Twitter
  • Follow SonarSource on Linkedin
language switcher
日本語 (Japanese)
  • 法的文書
  • トラスト センター

© 2008-2024 SonarSource SA.無断複写·転載を禁じます。SONAR、SONARSOURCE、SONARLINT、SONARQUBE、およびCLEAN AS YOU CODEは、SonarSource SAの商標です。