포괄적인 코드 커버리지
1차, 3차 및 AI 생성 코드 전반에 걸쳐 30개 이상의 언어(및 프레임워크)에 대한 완벽한 코드 품질 및 코드 보안 분석
통합 코드 품질 및 코드 보안
애플리케이션 보안은 코드부터 시작됩니다
자사, 타사, 그리고 그 사이의 모든 것을 포함하여 전체 코드베이스를 보호하세요. 워크플로에 완벽하게 통합된 SonarQube는 빠르고 정확하며 정밀한 자동 보안 분석을 통해 취약점을 탐지하고 해결합니다.
700만 명 이상의 개발자와 40만 명의 신뢰를 받음조직
우리의 보안 솔루션
SonarQube는 IDE부터 CI/CD까지 개발자 워크플로우에 완벽하게 통합되어 고급 SAST, SCA, IaC 스캐닝 및 비밀 탐지를 통해 통합된 코드 품질과 보안을 제공합니다. 수백만 명의 개발자가 신뢰하는 SonarQube는 퍼스트 파티, AI 생성 및 서드 파티 코드에 대한 포괄적인 지원을 보장합니다. 문제를 조기에 자동으로 감지하여 문제를 더 빠르게 해결하고, 재작업을 줄이며, 안전하고 안정적인 소프트웨어를 자신 있게 출시할 수 있습니다..
포함됨
SAST
정적 애플리케이션 보안 테스트(SAST)는 소스 코드를 분석하여 취약성, 보안 핫스팟 및 결함을 감지하고 SDLC 초기에 보안 문제를 포착합니다.
자세히 알아보기 >
포함됨
오염 분석
전체 코드베이스에 걸쳐 데이터 흐름 분석을 통해 신뢰할 수 없는 사용자 입력을 추적하고 주입 및 기타 중요한 보안 취약점을 식별합니다.
자세히 알아보기 >
포함됨
비밀 탐지
소스 코드의 비밀이 유출되면 개인 데이터 및 서비스에 대한 불법적인 액세스로 인해 보안 취약점에 노출될 수 있습니다.
자세히 알아보기 >
포함됨
IaC 스캐닝
IaC(Infrastructure as Code) 스캐닝은 배포 전에 인프라 정의에서 잘못된 구성 및 보안 문제를 감지합니다.
자세히 알아보기 >
Advanced Security
고급 SAST
고급 SAST는 기존 도구가 감지하지 못하는 종속성으로 인해 타사 코드와 코드 상호 작용에서 숨겨진 취약점을 발견하기 위해 오염 분석을 확장합니다.
자세히 알아보기 >
Advanced Security
SCA
소프트웨어 구성 분석은 타사 종속성의 취약점을 검사하여 오픈 소스 구성 요소가 위험을 초래하지 않도록 보장합니다.
자세히 알아보기 >
주요 이점
포괄적인 코드 커버리지
광범위한 탐지 및 수정
비교할 수 없는 정확도와 속도
개발 워크플로에서 왼쪽으로 시작
규정 준수 요구사항 충족
SAST와 SonarQube Server에 대해 자세히 알아보세요. 전문가와 상담하세요.
정적 애플리케이션 보안 테스트(SAST)
강력한 SAST 솔루션을 통해 취약점이 프로덕션 환경에 배포되기 전에 자동으로 탐지하세요. SAST 기술은 개발 과정에서 수백 가지 유형의 중요하고 관련성 있는 보안 문제를 식별합니다.
- Java, JavaScript, TypeScript, Python, PHP, C, C++, C# 등 가장 널리 사용되는 프로그래밍 언어를 지원합니다.
- 원활한 보안 검사를 위해 IDE 및 CI/CD 파이프라인과 통합됩니다.
- 개발자가 문제를 신속하게 해결할 수 있도록 자세한 수정 지침과 AI CodeFix가 포함되어 있습니다.
- 조직별 보안 정책을 시행하기 위한 사용자 정의 규칙을 만듭니다.
오염 분석
당사의 오염 분석 엔진은 애플리케이션 코드의 여러 계층을 통해 복잡한 데이터 흐름을 추적하여 신뢰할 수 없는 출처에서 중요한 싱크까지 잠재적인 보안 취약점을 식별합니다.
- SQL 주입, XSS, SSRF, 역직렬화 및 기타 주입 취약점 감지
- 거짓 양성을 줄이기 위해 기능 간 및 파일 간 고도로 정교하고 정확한 데이터 흐름 분석
- 인기 있는 프레임워크의 보안 제어를 이해하는 프레임워크 인식 스캐닝
고급 SAST
당사의 고급 정적 분석 기능은 기존 SAST를 뛰어넘어 오탐지율을 낮추고 깊이 숨겨진 보안 취약점을 발견합니다. 고급 SAST는 애플리케이션 코드와 타사(오픈소스) 코드의 상호작용으로 인해 발생하는 더욱 심층적이고 복잡한 취약점을 식별하는 데 도움을 줍니다.
- 소스와 싱크 간 흐름을 이해하는 외부 종속성 인식 SAST 분석
- 찾기 어려운 취약점을 탐지하기 위해 타사 라이브러리를 심층적으로 조사하는 파일 간 오염 분석
- 빠르고 정확한 분석에도 불구하고 구성이 필요하지 않으며 오버헤드가 없습니다.
- Java, C#, JavaScript 및 TypeScript에서 사용 가능
소프트웨어 구성 분석(SCA)
소프트웨어 공급망을 분석하고, 취약성을 식별하고, 라이선스 준수를 보장함으로써 팀은 코드베이스를 사전에 보호하고 타사 종속성과 관련된 위험을 줄일 수 있습니다.
- 취약성 식별: 타사 오픈 소스 종속성에서 타사 취약성(CVE 포함)을 추적, 관리 및 완화하기 위한 간소화된 프로세스
- 라이선스 준수: 통합된 모든 구성 요소가 허용된 소프트웨어 라이선스에 대한 조직의 정책을 충족하는지 확인합니다.
- SBOM(소프트웨어 자재 목록): 팀이 코드 구성을 이해하고 관리하고 보고하는 데 도움이 되는 자세한 인벤토리
비밀 탐지
포괄적인 비밀 탐지 기능으로 민감한 정보의 우발적인 노출을 방지하세요. SonarQube는 SonarQube for IDE를 사용하여 IDE의 소스 코드에서 비밀을 찾고, SonarQube(서버 및 클라우드)를 사용하여 CI/CD 파이프라인에서도 비밀을 탐지할 수 있습니다.
- 모든 인기 있는 기술과 공급자를 포괄하는 수백 개의 규칙과 비밀 패턴을 사용하여 API 키, 비밀번호, 토큰 및 기타 민감한 데이터를 감지합니다.
- 정규 표현식과 의미 분석의 강력한 조합을 사용하여 비밀을 감지합니다.
- 개인 서비스를 위한 조직별 비밀에 대한 사용자 정의 패턴 감지
- IDE에서 직접 코드의 비밀을 감지하여 해당 비밀이 저장소에 들어가는 것을 방지합니다.
코드형 인프라(IaC) 스캐닝
안전한 프로덕션 환경을 보장하기 위해 코드형 인프라(IaC)에서 보안 오류를 찾으세요.
- Terraform, CloudFormation, Azure Resource Manager, Kubernetes 매니페스트 및 Ansible 지원
- 인프라 정의에서 잘못된 구성 및 보안 위험 감지
- 실행 가능하고 정확도가 높은 분석 결과를 받습니다.
팀에 꼭 필요한 것
개발자가 개발자를 위해 만들고, 조직의 신뢰를 받습니다.
20억
LoC는 지속적으로 분석됨
110,000+
활성 프로젝트
6,000+
코딩 규칙 사용 가능
"릴리스가 더 안전해졌습니다. 65% 이상 향상되었습니다. 보안 수준은 75% 향상되어 침투 테스트 비용이 절감됩니다."
Ondrej Kolousek, CISO, Generali Czech Republic
Ondrej Kolousek, CISO, Generali Czech Republic
"릴리스가 더 안전해졌습니다. 65% 이상 향상되었습니다. 보안 수준은 75% 향상되어 침투 테스트 비용이 절감됩니다."
오늘 개발 파이프라인을 확보하세요
