ソフトウェア構成分析

開発者中心の SCA でコードとソフトウェア サプライ チェーンを保護します。これは SonarQube Advanced Security に含まれています。

無料トライアルデモ
SCA

700万人の開発者と40万社以上の企業に愛用されています

Mercedes Benz
Costco
Santander
U.S. Army
Nvidia
  • 14日間無料トライアル
  • 製品ツアーに参加する
  • 連絡

すべてのコードを1つの統合プラットフォームで

Actionable code intelligence

SonarQube is the only integrated code quality and code security platform that delivers actionable code intelligence for first-party code, AI-generated code, and open source code—all in a single, integrated solution. No matter the source, you get a holistic view of your code’s health and security.

All-in-one analysis

SonarQube delivers an integrated solution for code quality, SAST, taint analysis, SCA, secrets detection, and IaC scanning. It provides comprehensive insights into bugs, vulnerabilities, CVEs, SBOMs, and licenses, streamlining your workflow and eliminating tool sprawl.


Developer-centric workflow

See open source vulnerabilities and license issues directly in your PRs, CI/CD, and soon IDE. This direct feedback minimizes context switching, speeds up fixes, ensures secure dependencies, and clear risk policies keep your development pipeline unblocked.

Compliance reports

Review the trend and severity of your security issues across single projects or entire application portfolios and generate compliance reports for industry standards such as PCI DSS, OWASP Top 10, CWE, STIG, and more. Scheduled reports allow convenient daily, weekly, or monthly delivery. 

挑戦

今日の急速な開発、AI コード、オープンソースへの依存により、顧客が緊急に最小限に抑える必要のある複雑なセキュリティ リスクが増大しています。

Security vulnerabilities

Open source CVEs expose applications to attacks. Ignoring production usage of open source packages, maintainer info, origin, severity, exploit history, and fix availability can lead to breaches and disruptions.

Image shows security vulnerabilities detected by SonarQube

License violations

Incompatible licenses create legal, compliance, and business risks. Ignoring whether a license is permissible, if exceptions are possible, and if transitive risks exist can lead to significant legal and operational headaches; managing these shouldn't be a separate burden.

Image shows policy on third party extensions

Supply chain security

Your applications are built on a complex web of open source dependencies. How can you be sure their maintainers prioritize and follow secure software development practices? This lack of visibility creates significant risk in your supply chain.

Image shows a Json supply chain attack

Developer toil and fatigue

Chasing endless security alerts steals developer time from building features. Having to keep track of new security reports, how and where transitive packages came into the application, and managing the lifecycle of non-urgent vulnerabilities significantly amplifies this wasted effort and developer frustration.

Image expresses developer toil and fatigue and how it can be fixed by SonarQube

SonarQube SCAがどのように解決するか

SonarQube SCAは開発者向けに構築されており、シームレスで、実用的で、統合されています。

脆弱性検出

SonarQubeは、依存関係にある既知の脆弱性を検出します。メンテナーの洞察、重大度および悪用可能性スコアにより、重要な問題を容易に優先順位付けして修正できます。

Learn more

ライセンスチェック

禁止または許可されているソフトウェアライセンスの事前定義セットから選択するか、独自のポリシーを定義します。自動チェックにより、互換性のないライセンスやリスクのあるライセンスが問題になる前に検出されます。

Learn more

SBOMの可視性

ソフトウェアサプライチェーンを完全に可視化します。アプリケーションの詳細なSBOMを生成・維持することで、監査や規制遵守を容易にします。

Learn more

メンテナネットワーク

Sonar は、オープンソース プロジェクトのメンテナーに報酬を支払い、安全なソフトウェア開発手法の遵守と文書化、独自の洞察の提供を求める積極的なアプローチを採用しています。

Learn more

エコシステムのサポート

  • https://assets-eu-01.kc-usercontent.com:443/886afe32-410a-0136-0267-0f7515a29063/4636791d-bbcc-4ea1-bf41-ea229c98fb4f/java-color-padding.svg
  • https://assets-eu-01.kc-usercontent.com:443/886afe32-410a-0136-0267-0f7515a29063/e8a34013-7557-479a-90d3-4a12f5781e49/kotlin-color-padding.svg
  • https://assets-eu-01.kc-usercontent.com:443/886afe32-410a-0136-0267-0f7515a29063/b01ba2b6-22e3-4cea-a5a5-8461c9610e50/scala-color-padding.svg
  • https://assets-eu-01.kc-usercontent.com:443/886afe32-410a-0136-0267-0f7515a29063/bf92a486-5516-4cc2-8ba9-b039774e9393/javascript-color-padding.svg
  • https://assets-eu-01.kc-usercontent.com:443/886afe32-410a-0136-0267-0f7515a29063/d240d626-bd00-4316-bf53-fb6802bdf0ae/typescript_Color.svg
  • https://assets-eu-01.kc-usercontent.com:443/886afe32-410a-0136-0267-0f7515a29063/415cb8ee-89b6-4943-b827-e7857003eaa1/csharp-color-padding.svg
  • https://assets-eu-01.kc-usercontent.com:443/886afe32-410a-0136-0267-0f7515a29063/283e79ce-2fbb-4c08-9101-09b789e6c2d6/python-color-padding.svg
  • https://assets-eu-01.kc-usercontent.com:443/886afe32-410a-0136-0267-0f7515a29063/d14b9255-0256-4d69-a4c2-204a91f86c29/go-color-padding.svg
  • https://assets-eu-01.kc-usercontent.com:443/886afe32-410a-0136-0267-0f7515a29063/6bd5e308-60d3-4a1a-a769-b6186fd79a58/Rust-logo-padding.svg
  • https://assets-eu-01.kc-usercontent.com:443/886afe32-410a-0136-0267-0f7515a29063/8f623dfe-7e7a-4ca2-83c0-7721c87b4926/ruby-color-padding.svg

利点

  • 開発者のブロックを解除する

  • オープンソースに関する深い洞察

  • ツールの乱立と開発者の労力を排除

  • 比類のない精度とスピード

  • 包括的なライセンスコンプライアンス

実用的なソリューションで開発者のブロックを解除

私たちは、問題のリストだけでなく、実際の問題を優先し、明確な改善ガイダンスを提供することに重点を置いています。これにより、チームは問題を効率的に解決し、構築に戻ることができます。

M and T Bank

「最大の影響は、技術的負債に対処するのではなく、新しいコードを確実にクリーンにすることに注力できるようになったことです。」

Bijay Mangaraj, 上級副社長

顧客事例を読む
M and T Bank

Bijay Mangaraj, 上級副社長

「最大の影響は、技術的負債に対処するのではなく、新しいコードを確実にクリーンにすることに注力できるようになったことです。」

今すぐサードパーティの依存関係の脆弱性をスキャンしましょう