SonarQube Advanced Securityに含まれるSonarの高度なSAST機能により、組織はサードパーティのオープンソースライブラリとの相互作用に起因するアプリケーションコードの問題を特定・解決できます。この独自の機能により、SonarのSASTはライブラリへのデータ流入・流出を追跡し、他のツールでは検出できない深く隠されたセキュリティ脆弱性を効果的に発見します。
高度なSASTは、既存のSASTエンジンを強化します。既存エンジンは既に深い汚染分析、包括的なセキュリティルール、クラウドシークレット検出などを網羅しています。この革新的な技術により、SonarQube ServerおよびSonarQube Cloudの商用版は、最も普及しているライブラリの内部動作を完全に可視化し、比類のないコード分析を実現します。
Sonarの高度なSASTにより、組織はコードセキュリティの課題に自信を持って取り組み、堅牢なアプリケーションセキュリティを実現し、信頼性と強化されたコードベースの恩恵を享受できます。
ソフトウェアアプリケーションの99%は、サードパーティライブラリ(依存関係)のコードを使用し、相互作用しています。現在、ほとんどのSASTツールはアプリケーションコードのみを分析し、ライブラリコード(これらのツールにとってほぼブラックボックス)は対象外です。SonarのAdvanced SASTは、オープンソース依存関係に含まれる未知のコード部分まで分析とスキャンを拡張します。依存関係(ライブラリ)をスキャンすることで、Sonar SASTはデータフロー分析を拡張し、他のツールでは検出できないコード内の深く隠れたセキュリティ問題を発見します。高度なSASTは現在、SonarQube ServerおよびSonarQube CloudにおいてJava、C#、JavaScript/TypeScript向けに提供されています。上位かつ一般的に使用される数千ものオープンソースライブラリ(それらの派生(トランジティブ)依存関係を含む)をサポートします。自動的にスケーリングされ、将来的にはより多くの言語やライブラリをカバーするよう拡張される予定です。最適化には機械学習(ML)が活用されています。
Sonarは、バグやセキュリティ脆弱性につながる幅広いコード問題を検出・修正するために設計されており、30以上のプログラミング言語とフレームワークをサポートしています。Sonarのセキュリティ分析は、SQLインジェクション脆弱性、クロスサイトスクリプティング(XSS)コードインジェクション攻撃、バッファオーバーフロー、認証問題、クラウドシークレット検出など、広範なセキュリティ問題の検出に役立ちます。SonarQube Server Enterprise Edition、Data Center Edition、およびSonarQube Cloud Enterprise Planでは、セキュリティルールはPCI DSS、CWE Top 25、OWASP ASVS、OWASP Top 10、STIG、CASAなどの確立されたセキュリティ基準に基づいて分類されています。
セキュリティホットスポットは、人間のレビューが必要なセキュリティ上問題のあるコードの箇所です。開発者はセキュリティホットスポットを扱うことで、セキュリティリスクの評価方法を学び、セキュアコーディングの実践に対する理解を深めることができます。
セキュリティ脆弱性には即時の対応が必要です。Sonarは、コードが危険にさらされている理由を説明する詳細な問題説明とコードハイライトを提供します。ガイダンスに従い、修正をコミットしてアプリケーションを保護してください。
ユーザー提供データが重要なシステム(データベース、ファイルシステム、OSなど)に到達する前にサニタイズされることを保証することで、コードのセキュリティを確保します。汚染分析は、メソッド間だけでなくファイル間にもわたる実行フロー全体で、信頼できないユーザー入力を追跡します。
SASTツールでコードの安全性を維持するため、主要言語向けに高度に関連性の高いルールを提供します。
Java、PHP、C#、C、C++、Python、JavaScript、TypeScriptなど。
コードセキュリティ
コードレビュー中にセキュリティフィードバックを得ることは、コードセキュリティについて学び、責任を持つ絶好の機会です。
SonarQube ServerまたはSonarQube Cloudによる静的アプリケーションセキュリティテスト(SAST)を活用して脆弱性とセキュリティホットスポットを発見し、SonarQube for IDEをガイドとしてIDE内で修正します。
品質ゲートで脆弱性基準とセキュリティホットスポットのレビューを強制し、安全なコードのみをマージするようにします。
問題とその影響を深く理解することで、より優れた修正とより安全なアプリケーションが実現します。
セキュリティレポートは、コードのセキュリティ基準への準拠状況を迅速に把握できます。SonarQube Server Enterprise Edition/Data Center EditionおよびSonarQube Cloud Enterprise Planで利用可能なこれらのレポートにより、最も一般的なセキュリティ上の過ちと比較した現状を把握できます。規制レポートは各リリースの品質を追跡し、提供されたコードが組織の品質基準を満たしていることを証明します。
レポートには以下が含まれます:
静的解析をソフトウェア開発ワークフローにシームレスに統合
SASTをDevOpsおよびCI/CDパイプラインに統合することで、組織はソフトウェアのセキュリティ態勢を強化し、開発ライフサイクルの早期段階で脆弱性を特定できるようになります。セキュリティ分析ツールは開発プロセスに不可欠な要素となり、コード変更をコミットする際に早期のリアルタイムフィードバックを受け取ります。 Sonarは、GitHub、GitLab、Azure DevOps、TravisCI、CircleCI、Bitbucketなど主要なDevOps/CI/CDプラットフォームとの連携をサポート。Git、Subversionなどの主要SCMをネイティブ対応し、CVS、Jazz RTC、Mercurial、TFVCなどその他主要SCMにはコミュニティサポートを提供。
プルリクエストや開発ブランチ内で直接コードレビューを即時取得。問題化する前に修正を。
"Sonar has helped our organization by enabling us to maintain code standards and code cleanliness."
Ricky Lopez, Security Architect/AppSec Manager
Ricky Lopez, Security Architect/AppSec Manager
"Sonar has helped our organization by enabling us to maintain code standards and code cleanliness."
Sonar's SAST solution is designed to identify and remediate security vulnerabilities in source code before applications are deployed. By conducting automated analysis across multiple programming languages and frameworks, the solution helps developers catch issues such as SQL injection, cross-site scripting, and code injection early in the software development lifecycle. This proactive approach enables teams to build more secure software and reduces the risk of breaches after release.
By fostering a shift-left security mindset, Sonar's SAST supports the development of quality code by integrating seamlessly into DevOps workflows and popular IDEs. Developers receive actionable feedback directly within their coding environment, allowing them to fix security flaws and adhere to best practices as part of their regular coding process. This results in more robust, secure, and maintainable codebases and enhances overall software quality.
