申请试用

高级静态应用安全测试

发现其他SAST工具遗漏的漏洞

Sonar的高级SAST不仅分析代码,更深入解析第三方库的行为,在漏洞进入生产环境前揭示深藏的安全风险。

开始使用联系销售
SAST
  • 申请演示
  • 产品导览
  • Sonar 社区
  • 联系我们

深入探索高级SAST

SonarQube高级安全版内置的先进SAST功能,助力企业识别并解决源于第三方开源库交互的应用程序代码问题。这项独特功能使Sonar的SAST能够追踪库内数据流向,有效发现其他工具无法检测的深层安全漏洞。

高级SAST强化了原有SAST引擎,该引擎已涵盖深度污点分析、全面安全规则、云密钥检测等功能。如今凭借这项创新技术,SonarQube Server和SonarQube Cloud商业版可全面洞察主流库的内部运作机制,实现无与伦比的代码分析能力。

借助 Sonar 的高级 SAST,企业能够从容应对代码安全挑战,实现强健的应用程序安全性,并享受可靠且加固的代码库带来的优势。

立即体验 SonarQube 高级 SAST
代码安全

高级 SAST 优势

  • 发现深度隐藏的安全问题

  • 加速安全开发

  • 降低安全漏洞风险

  • 自动化代码扫描

  • 代码安全与合规性

  • 全面的检测引擎与覆盖范围

发现深度隐藏的安全问题

99% 的软件应用程序使用并交互第三方库(依赖项)中的代码。当前多数SAST工具仅分析应用程序代码,而对库代码(对这些工具而言基本是黑箱)视而不见。Sonar的高级SAST将代码分析与扫描范围扩展至开源依赖项中的未知代码区域。通过扫描依赖项(库文件),Sonar SAST得以扩展数据流分析能力,发现其他工具无法察觉的深层隐藏安全隐患。高级SAST功能现已登陆SonarQube Server及SonarQube Cloud平台,支持Java、C#及JavaScript/TypeScript语言。该功能覆盖数千个顶级常用开源库及其后续(传递性)依赖项,具备自动扩展能力,未来将逐步支持更多语言与库。通过机器学习(ML)技术实现性能优化。

安全分析

Sonar旨在检测并修复可能导致缺陷与安全漏洞的各类代码问题,支持30余种编程语言及框架。其安全分析功能可识别广泛的安全隐患,包括SQL注入漏洞、跨站脚本(XSS)代码注入攻击、缓冲区溢出、认证问题、云端密钥泄露检测等。在 SonarQube Server 企业版、数据中心版及 SonarQube Cloud 企业方案中,我们的安全规则依据 PCI DSS、CWE Top 25、OWASP ASVS、OWASP Top 10、STIG 和 CASA 等权威安全标准进行分类。

Image for 安全热点 > 代码审查

安全热点 > 代码审查

安全热点是需要人工审查的安全敏感代码实例。开发者通过处理安全热点,可学习评估安全风险并深化对安全编码实践的理解。

Image for 安全漏洞 > 代码修改/修复

安全漏洞 > 代码修改/修复

安全漏洞需立即处理。Sonar提供详细问题描述和代码高亮标记,说明代码存在风险的原因。只需遵循指引提交修复代码,即可保障应用程序安全

污点分析实现最大化防护

追踪恶意行为

确保用户提供的数据在触及关键系统(数据库、文件系统、操作系统等)前经过安全处理,是保障代码安全的关键。污点分析可追踪不可信用户输入在执行流中的传播路径——不仅限于方法内部,更涵盖跨文件传输过程。

探索更多功能

关键语言的代码安全规则

获取针对重要语言的高相关性规则,借助静态应用安全测试工具保障代码安全。

支持语言包括Java、PHP、C#、C、C++、Python、JavaScript、TypeScript等。

探索所有语言

代码安全

早期安全反馈,赋能开发者

主动承担

实时反馈

代码审查期间获取安全反馈,正是您深化认知并主导代码安全的机会。

jeff leaves a note about code issues
IDE集成

SonarQube IDE集成模式

借助SonarQube服务器或云端平台的静态应用安全测试(SAST)发现漏洞与安全热点,通过SonarQube IDE集成工具在开发环境中直接修复。

sonar working with jetbrains, eclipse, vs and vs code
质量门

安全代码

在质量门中强制执行漏洞标准和安全热点审查,确保仅合并安全代码。

coding issues are resolved
保持安全

安全规则详解

深入理解问题及其影响,才能实现更优修复和更安全的应用。

Sonar安全报告

安全报告可快速呈现代码对安全标准的合规全貌。该功能在SonarQube Server企业版/数据中心版及SonarQube Cloud企业版中提供,助您精准定位常见安全缺陷的风险等级。合规报告追踪每次发布的质量水平,为交付代码符合组织质量标准提供凭证。

报告涵盖:

  • PCI DSS(4.0版与3.2.1版)
  • OWASP十大漏洞(2021版与2017版)
  • CWE前25大缺陷(2022版、2021版与2020版)
  • OWASP应用安全验证标准(ASVS 4.0版,含1-3级)
  • STIG
  • CASA
参见OWASP十大漏洞

您的端到端静态应用安全测试工具

将静态分析无缝集成至软件开发工作流

DevOps与CI/CD

将SAST集成至DevOps和CI/CD管道,可帮助组织提升软件安全态势,确保在开发生命周期早期发现漏洞。安全分析工具成为开发流程的有机组成部分,并在提交代码变更时获得实时反馈。 Sonar支持主流DevOps与CI/CD平台集成,包括GitHub、GitLab、Azure DevOps、TravisCI、CircleCI及Bitbucket。原生支持Git、Subversion等主流SCM,并通过社区支持覆盖CVS、Jazz RTC、Mercurial、TFVC等其他常用版本控制系统。

拉取请求装饰

在拉取请求和开发分支内直接获取即时代码审查。在问题恶化前及时修复缺陷。

  • 实施质量门禁机制:若代码未达标准,CI/CD管道将自动终止
  • 直接在DevOps平台界面审查并优先处理代码修复
  • 为单仓库中的不同项目设置多重质量门禁,获取针对性反馈信息

SonarQube与IDE集成

  • 将卓越的代码质量工具能力直接嵌入开发者编码环境
  • 实时分析反馈
  • 代码问题高亮标注
  • 严格的代码质量标准,附带漏洞详情与修复指引
  • 可定制规则支持开发者按特定需求编码
  • 高级灵活性支持跨多种支持语言的开发者适配
Security Architect

"Sonar has helped our organization by enabling us to maintain code standards and code cleanliness."

Ricky Lopez, Security Architect/AppSec ManagerGrupo Financiero Banorte

阅读客户案例
Grupo Financiero Banorte
Security Architect

Ricky Lopez, Security Architect/AppSec Manager

"Sonar has helped our organization by enabling us to maintain code standards and code cleanliness."

准备好保障代码安全了吗?

Frequently asked questions

Sonar's SAST solution is designed to identify and remediate security vulnerabilities in source code before applications are deployed. By conducting automated analysis across multiple programming languages and frameworks, the solution helps developers catch issues such as SQL injection, cross-site scripting, and code injection early in the software development lifecycle. This proactive approach enables teams to build more secure software and reduces the risk of breaches after release.

By fostering a shift-left security mindset, Sonar's SAST supports the development of quality code by integrating seamlessly into DevOps workflows and popular IDEs. Developers receive actionable feedback directly within their coding environment, allowing them to fix security flaws and adhere to best practices as part of their regular coding process. This results in more robust, secure, and maintainable codebases and enhances overall software quality.

  • Follow SonarSource on Twitter
  • Follow SonarSource on Linkedin
language switcher
简体中文 (Simplified Chinese)
  • 法律文件
  • 信任中心

© 2008-2024 SonarSource SA。保留所有权利。SONAR、SONARSOURCE、SONARQUBE、 和 CLEAN AS YOU CODE 是 SonarSource SA 的商标。