VERIFICAÇÃO DE CÓDIGO SEGURO PARA DESENVOLVEDORES
O SonarQube detecta segredos de código vazados em todo o seu fluxo de trabalho de desenvolvimento, identificando-os diretamente no IDE e no seu pipeline de CI/CD.
CONFIADO POR MAIS DE 7 MILHÕES DE DESENVOLVEDORES E 400 MIL ORGANIZAÇÕESORGANIZATIONS
Segredos são quaisquer informações confidenciais ou privadas residentes no seu código que, quando expostas, comprometem a segurança de uma empresa.
Os segredos consistem em:
Segredos vazados são uma exposição grave à segurança quando acabam nas mãos de cibercriminosos, concedendo acesso não autorizado a sistemas e dados seguros.
Segredos no seu repositório de código:
Sonar usa uma combinação poderosa de expressões regulares e análise semântica para detetar segredos no código-fonte. Nós fazemos a varredura enquanto você programa no seu IDE com o SonarQube para IDE em uma abordagem verdadeiramente shift left, ao contrário de outras ferramentas de deteção de segredos, que só detetam segredos no repositório Git. Como o Sonar pode detetar segredos no código enquanto você escreve, os segredos nunca entram no seu repositório, eliminando o vazamento.
A deteção abrangente de segredos do Sonar vai além das soluções típicas, com mais de 340 regras que identificam mais de 400 padrões secretos em 248 serviços em nuvem e mil APIs.
A execução de uma verificação de deteção de segredos ocorre juntamente com a sua verificação de código regular e não tem impacto perceptível no tempo de desempenho da verificação.
O Sonar realiza a deteção de segredos no IDE usando o SonarQube para IDE e no seu repositório e pipeline de CI/CD usando o SonarQube Server ou o SonarQube Cloud.
A deteção de segredos do Sonar apresenta uma taxa de falsos positivos inferior a 5%, o que é fundamental para garantir a precisão e manter a confiança dos programadores.
O mecanismo de deteção de segredos do Sonar evita fugas ou estouros com uma proteção integrada para encerrar quando demora muito tempo para terminar.
O código e as regras de deteção de segredos do Sonar estão disponíveis publicamente como código aberto para contribuições da comunidade. Saiba como contribuir!
A detecção de segredos vem gratuitamente com o SonarQube para IDE e está incluída nas edições comerciais do SonarQube Server e SonarQube Cloud sem custo adicional.
Os segredos publicamente conhecidos cobrem a maioria dos seus segredos, mas uma boa parte deles são segredos específicos da empresa, com uma estrutura ou formato que só a sua empresa conhece. Crie regras personalizadas com o SonarQube Server Enterprise Edition e o Data Center Edition para detetar os padrões de segredos privados da sua empresa e oferecer a melhor cobertura de deteção de segredos, até 100% de todos os seus segredos.
O Sonar vai além, educando os programadores sobre quais códigos contêm segredos. Cada regra de deteção de segredos inclui conteúdo explicando por que o segmento de código encontrado é um segredo e os detalhes do impacto de por que o segredo representa um risco à segurança. Agora, os programadores sabem como não incluir segredos no seu código. Não é fantástico?
Pronto para entregar um código melhor e mais seguro? Comece hoje mesmo com a implementação do SonarQube ideal para si.
