고급 SAST
복잡한 취약점을 발견하기 위해 종속성까지 오염 분석을 확장합니다.
- 종속성 인식 데이터 흐름 분석
- 다른 취약점이 간과하는 취약점 발견
- 빠르고 정확함
개발자를 위한 보안 코드 스캐닝
비밀 정보 탐지
SonarQube는 개발 워크플로우 전반에 걸쳐 유출된 코드 비밀 정보를 탐지하며, IDE 및 CI/CD 파이프라인 내에서 직접 식별합니다.
700만 명 이상의 개발자와 40만 명의 신뢰를 받음조직
시크릿 탐지 방식
Sonar는 정규 표현식과 의미 분석의 강력한 조합을 활용해 소스 코드 내 시크릿을 탐지합니다. IDE용 SonarQube를 통해 IDE에서 코딩하는 동안 실시간으로 스캔하는 진정한 ‘시프트 레프트(Shift Left)’ 방식을 채택합니다. 이는 Git 저장소에서만 시크릿을 탐지하는 다른 도구들과 차별화됩니다. Sonar는 코드 작성 시점에 비밀 정보를 탐지하므로, 비밀 정보가 저장소에 유입되는 것을 차단하여 유출을 방지합니다.
Sonar의 비밀 정보 탐지 기능은…
강력함
Sonar의 포괄적인 비밀 정보 탐지 기능은 일반적인 솔루션을 뛰어넘습니다. 248개 클라우드 서비스와 수천 개의 API에 걸쳐 400개 이상의 비밀 패턴을 식별하는 340개 이상의 규칙을 제공합니다.
빠름
비밀 정보 탐지 스캔은 일반 코드 스캔과 동시에 실행되며 스캔 성능 시간에 눈에 띄는 영향을 미치지 않습니다.
완벽함
Sonar는 SonarQube for IDE를 사용하여 IDE 내에서, SonarQube Server 또는 SonarQube Cloud를 사용하여 저장소 및 CI/CD 파이프라인 내에서 비밀 정보 탐지를 수행합니다.
정확성
Sonar의 비밀 정보 탐지 기능은 오탐률이 5% 미만으로 정확성을 보장하고 개발자의 신뢰를 유지하는 데 중요합니다.
신뢰성
Sonar의 비밀 정보 탐지 엔진은 완료 시간이 지나치게 오래 걸릴 경우 중단하는 내장 안전 장치를 통해 런어웨이 또는 오버플로를 방지합니다.
오픈 소스
Sonar의 비밀 정보 탐지 코드와 규칙은 커뮤니티 기여를 위해 오픈 소스로 공개되어 있습니다. 기여 방법을 알아보세요!
무료
비밀 정보 탐지 기능은 SonarQube for IDE에 무료로 제공되며, SonarQube Server 및 SonarQube Cloud 상용 에디션에도 추가 비용 없이 포함됩니다.
회사 고유의 비밀 정보 유출 방지
공개된 비밀 정보가 대부분의 비밀 정보를 차지하지만, 상당수는 구조나 형식이 해당 회사만 알고 있는 회사 고유의 비밀 정보입니다. SonarQube Server Enterprise Edition 및 Data Center Edition으로 맞춤형 규칙을 생성하여 회사의 비공개 비밀 패턴을 탐지하고, 모든 비밀의 최대 100%까지 최고의 비밀 탐지 커버리지를 제공하세요.
가장 포괄적인 예방 솔루션
Sonar는 개발자에게 어떤 코드에 비밀이 포함되어 있는지 교육함으로써 한계를 뛰어넘습니다. 각 비밀 탐지 규칙에는 발견된 코드 세그먼트가 비밀인 이유와 해당 비밀이 보안 위험을 초래하는 영향 세부 사항을 설명하는 내용이 포함됩니다. 이제 개발자는 코드에 비밀 정보를 포함하지 않는 방법을 알게 됩니다. 정말 멋지지 않나요?
모든 코드 라인에 신뢰를 구축하세요
더 나은 보안 코드를 제공할 준비가 되셨나요? 귀사에 적합한 SonarQube 배포로 지금 시작하세요.
