SonarQube 8.8

【概要描述】

分類：新聞資訊
作者：
來源：
發(fā)布時(shí)間：2021-04-06
訪問量：0

詳情

SonarQube 8.8

GitHub Actions，服務器端JavaScript漏洞，安全報告等

GitHub Actions分支和PR新增分析

您可以在GitHub.com中通過(guò)GitHub Actions使用您的代碼和CI。現在您也可以在此進(jìn)行SonarQube分析。我們已經(jīng)在GitHub Actions中爲您添加了自動檢測分支和PRs，還(hái)新增了一個教程幫助您進(jìn)行你所需要的設置。

Bitbucket雲支持增加了monorepos和失敗的pipelines

現在，如果分析沒(méi)有通過(guò)質量檢驗關，那麼(me)你的Bitbucket雲管道(dào)就(jiù)會(huì)失敗。在企業版及以上版本中，我們增加了 monorepo PR分析，以便在分析時(shí)能(néng)夠分開(kāi)報告每個子報告的結果。

對(duì)于C, c++， c#和GitLab來說(shuō)，項目創建變得更加清晰和容易了

幫助 .NET, C & C++ ， GitLab 與 Jenkins更好(hǎo)地加載

如果您用C、c++或c#編程，分析新項目會(huì)變得更加容易，新的應用程序内部教程可以幫助您爲這(zhè)些語言配置項目分析。同樣，對(duì)于GitLab項目，如果您使用Jenkins作爲CI，也是一樣的——有一個新的教程將(jiāng)幫助您順利地加載新項目，從而讓您更快地啓動和運行分析!

SonarQube能(néng)調用主分支，正如你自己操作時(shí)那樣

不再混淆存儲庫中命名爲Develop或Main的分支和SonarQube中的“Master”。從現在開(kāi)始，每個新項目的主要分支將(jiāng)在SonarQube中被稱爲與代碼存儲庫平台中相同的東西。

更深入的IDE集成(chéng):SonarLint中的安全熱點和污點漏洞

針對(duì)IntelliJ IDEA、Visual Studio、Eclipse和VSCode的SonarLint四個版本現在都(dōu)可以對(duì)安全熱點和污點分析漏洞進(jìn)行調查(可在商業版本中獲得)。無論使用哪一種(zhǒng)，現在都(dōu)可以從SonarQube的IDE中打開(kāi)安全熱點。在連接模式下，您還(hái)可以將(jiāng)SonarQube污點分析檢測到的漏洞拉入SonarLint，以便進(jìn)行更深入的調查和糾正。

JavaScript SAST可發(fā)現Node.js, Express.js服務器端漏洞

在這(zhè)個版本中，我們做了很多工作來提高我們對(duì)Node.js和Express.js服務器端應用程序的JavaScript SAST分析的準确性。具體來說(shuō)，該規則用于檢測動态代碼執行、OS命令執行、HTTP重定向(xiàng)和DOM更新中的注入漏洞，并且SSRF規則(服務器端請求僞造)現在能(néng)夠識别到更容易受到攻擊的輸入(源)和輸出(接收)。此外，分析現在可以理解arrays, Promises, ES6 classes and async/await。生成(chéng)的結果會(huì)對(duì)代碼的分析更加豐富和準确。

CWE Top 25, PDF導出的安全報告擴展

在這(zhè)個版本中，安全報告得到了顯著的擴展。首先，我們增加了CWE前25名的報告，包括2020年和2019年版本的名單。CWE前25名列出了與“過(guò)去兩(liǎng)年經(jīng)曆的最常見和最具影響力的問題”相關的CWE。相比于2020年的清單，2019年版本的清單更加抽象。由于這(zhè)兩(liǎng)個版本都(dōu)很有用，所以它們在SonarQube中都(dōu)可以使用。