SonarQube高级安全版内置的先进SAST功能,助力企业识别并解决源于第三方开源库交互的应用程序代码问题。这项独特功能使Sonar的SAST能够追踪库内数据流向,有效发现其他工具无法检测的深层安全漏洞。
高级SAST强化了原有SAST引擎,该引擎已涵盖深度污点分析、全面安全规则、云密钥检测等功能。如今凭借这项创新技术,SonarQube Server和SonarQube Cloud商业版可全面洞察主流库的内部运作机制,实现无与伦比的代码分析能力。
借助 Sonar 的高级 SAST,企业能够从容应对代码安全挑战,实现强健的应用程序安全性,并享受可靠且加固的代码库带来的优势。
99% 的软件应用程序使用并交互第三方库(依赖项)中的代码。当前多数SAST工具仅分析应用程序代码,而对库代码(对这些工具而言基本是黑箱)视而不见。Sonar的高级SAST将代码分析与扫描范围扩展至开源依赖项中的未知代码区域。通过扫描依赖项(库文件),Sonar SAST得以扩展数据流分析能力,发现其他工具无法察觉的深层隐藏安全隐患。高级SAST功能现已登陆SonarQube Server及SonarQube Cloud平台,支持Java、C#及JavaScript/TypeScript语言。该功能覆盖数千个顶级常用开源库及其后续(传递性)依赖项,具备自动扩展能力,未来将逐步支持更多语言与库。通过机器学习(ML)技术实现性能优化。
Sonar旨在检测并修复可能导致缺陷与安全漏洞的各类代码问题,支持30余种编程语言及框架。其安全分析功能可识别广泛的安全隐患,包括SQL注入漏洞、跨站脚本(XSS)代码注入攻击、缓冲区溢出、认证问题、云端密钥泄露检测等。在 SonarQube Server 企业版、数据中心版及 SonarQube Cloud 企业方案中,我们的安全规则依据 PCI DSS、CWE Top 25、OWASP ASVS、OWASP Top 10、STIG 和 CASA 等权威安全标准进行分类。
安全热点是需要人工审查的安全敏感代码实例。开发者通过处理安全热点,可学习评估安全风险并深化对安全编码实践的理解。
安全漏洞需立即处理。Sonar提供详细问题描述和代码高亮标记,说明代码存在风险的原因。只需遵循指引提交修复代码,即可保障应用程序安全
确保用户提供的数据在触及关键系统(数据库、文件系统、操作系统等)前经过安全处理,是保障代码安全的关键。污点分析可追踪不可信用户输入在执行流中的传播路径——不仅限于方法内部,更涵盖跨文件传输过程。
获取针对重要语言的高相�关性规则,借助静态应用安全测试工具保障代码安全。
支持语言包括Java、PHP、C#、C、C++、Python、JavaScript、TypeScript等。
代码安全
代码审查期间获取安全反馈�,正是您深化认知并主导代码安全的机会。
借助SonarQube服务器或云端平台的静态应用安全测试(SAST)发现漏洞与安全热点,通过SonarQube IDE集成工具在开发环境中直接修复。
在质量门中强制执行漏洞标准和安全热点审查,确保仅合并安全代码。
深入理解问题及其影响,才能实现更优修复和更安全的应用。
安全报告可快速呈现代码对安全标准的合规全貌。该功能在SonarQube Server企业版/数据中心版及SonarQube Cloud企业版中提供,助您精准定位常见安全缺陷的风险等级。合规报告追踪每次发布的质量水平,为交付代码符合组织质量标准提供凭证。
报告涵盖:
将静态分析无缝集成至软件开发工作流
将SAST集成至DevOps和CI/CD管道,可帮助组织提升软件安全态势,确保在开发生命周期早期发现漏洞。安全分析工具成为开发流程的有机组成部分,并在提交代码变更时获得实时反馈。 Sonar支持主流DevOps与CI/CD平台集成,包括GitHub、GitLab、Azure DevOps、TravisCI、CircleCI及Bitbucket。原生支持Git、Subversion等主流SCM,并通过社区支持覆盖CVS、Jazz RTC、Mercurial、TFVC等其他常用版本控制系统。
在拉取请求和开发分支内直接获取即时代码审查。在问题恶化前及时修复缺陷。
"Sonar has helped our organization by enabling us to maintain code standards and code cleanliness."
Ricky Lopez, Security Architect/AppSec Manager
Ricky Lopez, Security Architect/AppSec Manager
"Sonar has helped our organization by enabling us to maintain code standards and code cleanliness."
Traditional tools create a “black box” around third-party libraries, but Advanced SAST eliminates this blind spot. It extends taint analysis to trace the flow of data into and out of open source dependencies. By seeing how your code interacts with the library code, it uncovers deeply hidden, complex vulnerabilities that traditional static application testing(SAST) tools miss.
