開(kāi)發(fā)人員擁有代碼安全性
開(kāi)發(fā)人員可以通過(guò)靜态應用程序安全性測試(SAST)來控制代碼安全性,以支持更多語言,更多規則,更好(hǎo)的檢測和改進(jìn)的工作流程。
無與倫比的SAST精度-現在包括JavaScript等
安全漏洞檢測已随著(zhe)新語言,新規則和改進(jìn)的檢測引擎而大大擴展,從而在Java,C#,PHP,Python,JavaScript,TypeScript,C和C ++的安全分析中帶來了無與倫比的精度和性能(néng)。除了極大地擴展了分析的廣度和深度之外,我們還(hái)擴大了開(kāi)發(fā)人員對(duì)這(zhè)些發(fā)現的訪問權限。在IDE中,SonarLint,SonarQube本身以及商業版的PR裝飾中都(dōu)提出了問題。
改進(jìn)之處包括:
· 爲Python,JavaScript,TypeScript,C和C ++添加了SAST分析
· OWASP對(duì)Java和C#的十大全面(miàn)介紹,對(duì)其他語言的重要介紹
· 用于C和C ++的POSIX函數中的緩沖區溢出檢測
商業版本添加了污點分析規則以查找:注入缺陷,損壞的訪問控制,XSS和不安全的反序列化,并能(néng)夠以連接模式將(jiāng)這(zhè)些污點分析問題同步到SonarLint中。
安全熱點審查使開(kāi)發(fā)人員可以編寫更安全的代碼
安全熱點通過(guò)將(jiāng)注意力集中在對(duì)安全敏感的代碼段上,并爲開(kāi)發(fā)人員提供診斷潛在影響的工具,來幫助開(kāi)發(fā)人員編寫更安全的代碼。我們已經(jīng)擴大了安全熱點語言的範圍,以包括TypeScript,C和C ++。現在,您具有用于對(duì)安全性熱點進(jìn)行分類的專用界面(miàn),隻需單擊即可通過(guò)SonarLint在IDE中打開(kāi)它們。
報告和配置提高了清晰度和準确性 EE DCE
安全報告包括CWE Top 25 2019和CWE Top 25 2020,以及PDF格式的頂級報告下載。而且,如果您使用本地框架,則污點分析配置將(jiāng)爲您提供一個UI,以設置您本地的源,接收器和消毒劑,以提高整體精度,并最終提高代碼安全性。
在雲端?本地?您的平台已覆蓋!
無論您的代碼是駐留在雲中還(hái)是本地,SaaS或自我管理中,代碼存儲庫平台集成(chéng)都(dōu)可以幫助您更快地編寫更好(hǎo)的代碼。從最初的項目導入到因失敗的質量門而導緻的管道(dào)失敗,我們幾乎涵蓋了所有人。
簡化項目設置
簡化的項目設置爲您提供了一個易于使用的界面(miàn),可以在任何代碼存儲庫平台上導入項目:GitHub,GitLab,AzureDevOps和Bitbucket;本地和雲中。是的,全部八個!
導入項目後(hòu),教程將(jiāng)引導您完成(chéng)在GitHub Actions,Jenkins,GitLab CI或Azure DevOps Pipelines中進(jìn)行分析的設置;包含針對(duì).NET,C,C ++和Objective-C項目的特定于語言的教程。
現在,無論您使用哪個配置項,都(dōu)可以使管道(dào)失敗以進(jìn)行失敗的分析。
PR analysis on steroids DE EE DCE
Code RepositoryPlatform集成(chéng)并不會(huì)停止。我們支持對(duì)GitHub,Bitbucket,Azure DevOps和GitLab的請求請求修飾;本地和雲中。是的,全部八個!企業版在monorepos中添加了PR裝飾。
不隻是裝飾 Developer Edition還(hái)爲大多數工作流程帶來了自動的分支和PR配置:Jenkins,GitHub Actions,Gitlab CI,Azure Pipelines和Bitbucket Pipelines。
操作SonarQube比以往更容易
我們使SonarQube的運行比以往更輕松,更安全。SonarQube已按照美國(guó)國(guó)防部的标準進(jìn)行了安全加固(即經(jīng)過(guò)STIG加固),在Docker Hub和國(guó)防部的Iron Bank中每個版本都(dōu)有一個Docker映像。加上用于Kubernetes支持的Helm圖表,使SonarQube的部署比以往更加容易。
通過(guò)支持數據庫熱備份,日常維護也變得更加容易。通過(guò)升級過(guò)程中的逐步可用性,升級比以往任何時(shí)候都(dōu)更加容易。現在,即使在未完成(chéng)索引編制之前,SonarQube仍可用于分析和有限的浏覽。
是時(shí)候讓Python開(kāi)發(fā)人員加入SonarQube
過(guò)去,Python的支持并不總是我們關注的重點,而LTS則一勞永逸地改變了這(zhè)一點。我們竭盡所能(néng)爲Python提供一流的靜态代碼分析,這(zhè)使Python開(kāi)發(fā)人員可以輕松地采用SonarQube。
該LTS添加了深入的分析,以捕獲開(kāi)發(fā)人員期望的棘手的Bug和漏洞,并具有SonarQube标準的合理默認值,高性能(néng)和最小配置。爲了在所有語言結構,框架和類型中正确跟蹤問題,我們已經(jīng)爲該語言的3.9版提供了Python支持。對(duì)于剛從其他工具過(guò)渡過(guò)來的團隊,可以輕松導入Pylint和Flake8報告,還(hái)可以編寫自定義規則。
最重要的是,在商業版本中還(hái)支持污點分析規則,以檢測污點分析漏洞,例如注入缺陷。
C ++帶來了開(kāi)發(fā)人員想要的規則和性能(néng)
全面(miàn)介紹了C ++核心準則和廣泛的C ++17特定規則,我們使遵循現代最佳實踐變得容易。而且,如果您的商店使用多個标準版本,則管理質量配置文件也將(jiāng)變得很容易:爲您使用的所有版本啓用規則,我們將(jiāng)根據項目編譯到的标準版本來激活它們。此外,我們對(duì)分析性能(néng)進(jìn)行了一些改進(jìn),并增加了對(duì)各種(zhǒng)附加編譯器的支持。
這(zhè)是對(duì)以安全爲中心的規則的顯著(zhe)擴展的補充,其中包括檢測POSIX函數中的緩沖區溢出。
最後(hòu),Community Edition用戶可以在新引入的CLion SonarLint以及VisualStudio的SonarLint中免費使用C ++分析。
編碼時(shí)幹淨,最佳實踐走在前列
作爲我們幫助每個開(kāi)發(fā)人員每天編寫更好(hǎo)代碼的持續使命的一部分,我們對(duì)業界經(jīng)常忽略的元素表示了熱愛。首先,您將(jiāng)找到一個重寫的項目主頁。新界面(miàn)將(jiāng)新代碼的質量和安全性放在首位和居中,可幫助您更好(hǎo)地專注于代碼清洗。其次,我們在Java,PHP和C#中添加了規則,以幫助您正确編寫測試。最後(hòu),我們使應用程序可用于所有商業版本,以便更多團隊可以監視在一個聚合的綜合項目中一起(qǐ)交付的項目的質量。
迄今爲止最安全的LTS!
我們不僅關心代碼的安全性,還(hái)關心整個SonarQube環境的安全性。這(zhè)就(jiù)是我們這(zhè)樣做的原因:
· 對(duì)SonarQube本身的構建以及我們的内部構建管道(dào)進(jìn)行了額外的加固
· SonarQube中的庫加載僅限于SonarSource提供的庫
· 有限的插件隻能(néng)通過(guò)API訪問核心功能(néng)
· 向(xiàng)插件市場添加了其他控件
您還(hái)將(jiāng)找到簡單但有效的新保護措施,例如強制SonarQube管理員更改默認管理員憑據。
關于蘇州華克斯信息科技有限公司
聯系方式:400-028-4008
0512-62382981
專業的測試及安全産品服務提供商
Fortify | Webinspect | AppScan | SonarQube
LoadRunner | UFT(QTP) | ALM(QC)
關于蘇州華克斯信息科技有限公司
聯系方式:400-028-4008
0512-62382981
專業的測試及安全産品服務提供商
Fortify | Webinspect | AppScan | SonarQube
LoadRunner | UFT(QTP) | ALM(QC)
Micro Focus (原HPE)鉑金合作夥伴
SonarQube中國(guó)總代理
HCL中國(guó)合作夥伴
極狐GiLab鉑金級合作夥伴
掃二維碼用手機看
更多資訊