Deeper Analysis. Unmatched Security.

14-day free trial

Deeper Analysis. Unmatched Security.

Uncover Hidden Code Vulnerabilities with SonarQube Server SAST

Comprehensive detection engine for code quality and security
Over 5000 rules for 35+ languages and frameworks
Deeper SAST coverage for Java, C#, and JavaScript/TypeScript
Branch Analysis and Pull Request decoration
Powerful secrets detection
Security Reports including OWASP, CWE Top 25, and PCI DSS
Regulatory release reports
Security Engine customization
Detection of injection flaws, cross-site scripting, deserialization issues and more

CODE SECURITY

benefits of deeper SAST

Hidden security issues

Accelerate development
Reduce risk of security breaches
Automate code scanning
Code Security and compliance
Comprehensive Detection Engine and coverage

Find deeply hidden security issues

99% of software applications use and interact with the code in third-party libraries (dependencies). Deeper SAST from Sonar extends code analysis and scanning to cover the unknown parts of the code that are in the open-source dependencies. Scanning dependencies (libraries) allows Sonar SAST to extend the dataflow analysis and find deeply hidden security issues in code that other tools cannot find. Deeper SAST is available today for Java, C#, and JavaScript/TypeScript in SonarQube Server and SonarQube Cloud.

보안 분석

버그 및 보안 취약점으로 이어질 수 있는 다양한 코드 문제를 탐지하고 수정하도록 설계된 Sonar는 30개 이상의 프로그래밍 언어와 프레임워크를 지원합니다. Sonar의 보안 분석은 SQL 인젝션 취약점, 크로스 사이트 스크립팅(XSS) 코드 인젝션 공격, 버퍼 오버플로, 인증 문제, 클라우드 시크릿 탐지 등 광범위한 보안 문제 탐지에 도움이 될 수 있습니다. SonarQube Server Enterprise Edition 및 Data Center Edition과 SonarQube Cloud Enterprise Plan에서는 보안 규칙이 PCI DSS, CWE Top 25, OWASP ASVS, OWASP Top 10, STIG, CASA 등 확립된 보안 표준에 따라 분류됩니다.

보안 핫스팟 > 코드 검토

보안 핫스팟은 사람의 검토가 필요한 보안 민감 코드의 사례입니다. 개발자는 보안 핫스팟을 다루며 보안 위험을 평가하는 방법을 배우고 안전한 코딩 관행에 대한 이해를 높일 수 있습니다.

보안 취약점 > 코드 변경/수정

보안 취약점은 즉각적인 조치가 필요합니다. Sonar는 코드가 위험에 처한 이유를 설명하는 상세한 문제 설명과 코드 하이라이트를 제공합니다. 안내를 따르고, 수정 사항을 체크인하여 애플리케이션을 보호하세요.

Chase down the bad actors

Making sure user-provided data is sanitized before it hits critical systems (database, file system, OS, etc.) helps ensure your code security. Taint analysis tracks untrusted user input throughout the execution flow - across not just methods but also from file to file.

Sonar 보안 보고서

보안 보고서는 코드의 보안 표준 준수 현황을 한눈에 파악할 수 있게 합니다. SonarQube Server Enterprise Edition 및 Data Center Edition, SonarQube Cloud Enterprise Plan에서 제공되는 이 보안 보고서를 통해 가장 흔한 보안 실수 대비 현재 위치를 확인할 수 있습니다. 규정 준수 보고서는 각 릴리스의 품질을 추적하고 배포된 코드가 조직의 품질 기준을 충족한다는 증거를 제공합니다.

보고서 항목:

PCI DSS (버전 4.0 및 3.2.1)
OWASP Top 10 (버전 2021 및 2017)
CWE Top 25 (버전 2022, 2021, 2020)
OWASP ASVS (버전 4.0, 레벨 1~3)
STIG
CASA

OWASP Top 10 참조

엔드투엔드 SAST 도구

소프트웨어 개발 워크플로우에 정적 분석을 원활하게 통합

DevOps 및 CI/CD

SAST를 DevOps 및 CI/CD 파이프라인에 통합하면 조직은 소프트웨어의 보안 태세를 강화하고 개발 라이프사이클 초기에 취약점을 식별할 수 있습니다. 보안 분석 도구는 개발 프로세스의 핵심 부분이 되며, 코드 변경 사항을 커밋할 때 실시간으로 조기 피드백을 받습니다. Sonar는 GitHub, GitLab, Azure DevOps, TravisCI, CircleCI, Bitbucket 등 주요 DevOps 및 CI/CD 플랫폼과의 통합을 지원합니다. Git, Subversion 등 가장 널리 사용되는 SCM에 대한 네이티브 지원과 CVS, Jazz RTC, Mercurial, TFVC 등 기타 인기 SCM에 대한 커뮤니티 지원을 제공합니다.

풀 리퀘스트 장식

풀 리퀘스트 및 개발 브랜치 내에서 직접 즉각적인 코드 리뷰를 받으세요. 문제가 발생하기 전에 이슈를 수정하세요.

코드 품질이 기준에 미달할 경우 CI/CD 파이프라인을 자동으로 실패시키는 Go/No-Go 품질 게이트 구현
DevOps 플랫폼 인터페이스 내에서 직접 코드 수정 사항 검토 및 우선순위 지정
모노레포 내 여러 프로젝트에 대해 서로 다른 품질 게이트 설정으로 프로젝트별 맞춤형 피드백 메시지 수신

IDE SonarQube와 IDE 통합

개발자의 코드 환경에 바로 적용되는 우수한 코드 품질 도구 기능
실시간 분석 피드백
코드 문제 강조 표시
엄격한 코드 품질 기준과 함께 취약점 문제 세부 정보 및 수정 지침 제공
사용자 지정 가능한 규칙을 통해 개발자가 특정 요구 사항에 따라 코딩할 수 있도록 지원
고급 유연성으로 개발자가 여러 지원 언어에 걸쳐 적응하고 채택할 수 있도록 지원

"When implementing large projects with various external parties, it’s nearly impossible to maintain code quality. SonarQube Server has allowed us to improve the quality of the code base for these large projects — especially by allowing us to significantly reduce the amount of code duplication. Refactoring has become a much easier task."
Hubert Tsang, Chief Information Officer @ Pacific Textiles Ltd