SonarQube 9.6 K8S,增量 Java PR
- 分類:新聞資訊
- 作者:蘇州華克斯信息科技有限公司
- 來源:蘇州華克斯信息科技有限公司
- 發(fā)布時(shí)間:2022-08-30
- 訪問量:0
【概要描述】
SonarQube 9.6 K8S,增量 Java PR
【概要描述】
- 分類:新聞資訊
- 作者:蘇州華克斯信息科技有限公司
- 來源:蘇州華克斯信息科技有限公司
- 發(fā)布時(shí)間:2022-08-30
- 訪問量:0
SonarQube 9.6 的大主題是安全性:Kubernetes 的安全規則、AWS CDK 的 JavaScript 使用、對(duì)污點分析規則的更好(hǎo)描述、對(duì)常見 Java 庫的更好(hǎo)理解——用于更多的污點分析真實陽性——以及自動檢測本地驗證器- 減少污點分析誤報!
但這(zhè)不是我們所做的全部工作。還(hái)有對(duì) Azure Functions 的新支持、增量 Java PR 分析、新的 JS/TS React 規則(和規則改進(jìn))以及顯著(zhe)的 Ops 改進(jìn)。
介紹:Kubernetes 的安全規則,以及 AWS 的更多安全規則
如果運行的環境不安全,你的代碼真的安全嗎?Kubernetes 的六項新安全熱點規則意味著(zhe)您不必懷疑。他們將(jiāng)标記需要仔細檢查的配置,并幫助您了解可能(néng)存在的危險。
如果您改用 AWS S3 存儲桶,JavaScript 分析會(huì)添加五個新的安全熱點規則來幫助您避免常見的 CDK 陷阱,從而幫助基礎設施設計人員爲其用戶提供基于安全穩定基礎設施的雲基礎設施。我們還(hái)擴展了對(duì) JavaScript Lambda 分析的支持,以涵蓋 YAML 文件中定義的分析。
Java 開(kāi)發(fā)人員現在也可以爲 AWS 編碼。七項新規則涵蓋 Lambda 開(kāi)發(fā)、AWS 客戶端最佳實踐、AWS 開(kāi)發(fā)工具包的使用和訪問密鑰安全性。
Azure 函數規則和 C# 解構支持
說(shuō)到雲開(kāi)發(fā),我們添加了六個新的 Code Smell 規則,以幫助 C# 開(kāi)發(fā)人員避免 Azure Function 開(kāi)發(fā)中的常見陷阱。它們涵蓋資源管理、錯誤處理和實體界面(miàn)設計。我們還(hái)更新了 16 條規則以支持 C# 的元組解構器語法
Java PR 的增量分析的 DE EE DCE
現在你們一直在等待什麼(me)……更快的公關分析!在這(zhè)個版本中,我們爲 Java PR 引入了增量分析。底層機制是一個新的服務器端分析緩存。它允許我們將(jiāng) PR 分析限制爲僅更改的文件,同時(shí)仍執行徹底的分析。這(zhè)些數字還(hái)沒(méi)有真正出現,但是在一個測試項目中,分析的 Java 部分從 160 秒下降到 20 秒。現在我們已經(jīng)證明了這(zhè)些機制,您可以在未來的版本中尋找其他語言的版本。
問題 UI 提高了焦點,爲污點分析增加了更多幫助
您會(huì)在此版本中注意到更新的問題 UI。SonarQube 9.5 引入了一個 UI,旨在幫助開(kāi)發(fā)人員專注于當前問題,9.6 通過(guò)將(jiāng)所有問題操作移動到問題界面(miàn)的頂部來進(jìn)一步簡化演示。
在商業版中,變化更進(jìn)一步,在六種(zhǒng)污點分析規則中增加了額外的内容,以幫助您更好(hǎo)地理解問題,并針對(duì)某些規則使用的框架專門定制了補丁說(shuō)明。
污點分析範圍,準确性增長(cháng)的DE EE DCE
很少有人能(néng)夠在使用現代框架的最佳實踐的新項目中工作。即使你是少數幸運者之一,你可能(néng)仍然有一些本土的輸入驗證器,以确保用戶數據是幹淨和安全的。這(zhè)就(jiù)是爲什麼(me)我們更新了污點分析以自動識别自定義驗證器,以減少誤報并爲您提供更好(hǎo)的整體體驗。
同時(shí),我們還(hái)通過(guò)將(jiāng)覆蓋範圍擴展到 100 個最常用的 Java 庫來改進(jìn)檢測。這(zhè)種(zhǒng)對(duì)底層庫的更好(hǎo)理解意味著(zhe)在您的 Java 項目中進(jìn)行更多的污染分析。
React:新規則,提高了 JS/TS 的準确性
七個新的特定于 React 的錯誤規則可幫助您找到無限循環、死代碼、狀态問題等。此外,還(hái)更新了 14 條其他規則,以提高 React 和 JSX/TSX 代碼的準确性。
PCI DSS 報告 EE DCE
支付卡行業數據安全标準是适用于所有處理信用卡數據的組織的 12 項高級要求(總共 240 項低級要求)的列表。SonarQube 9.6 增加了标準 3.2 和 4.0 版本的報告。UI 中提供了這(zhè)兩(liǎng)個版本,安全報告 PDF 包括 4.0 版。
運維進(jìn)展:SAML 安全性、令牌到期
作爲 SonarQube 9.5 中添加令牌類型的後(hòu)續,此版本通過(guò)添加設置令牌過(guò)期的功能(néng)來進(jìn)一步保護令牌。令牌壽命可以由用戶在令牌生成(chéng)期間設置,也可以由管理員在全局範圍内設置,管理員爲新令牌選擇最長(cháng)壽命。
此外,使用 SAML 身份驗證的組織可能(néng)希望使用請求簽名和斷言加密來更新其配置,SonarQube 9.6 新支持這(zhè)兩(liǎng)者。
最後(hòu),在這(zhè)個版本中,我們用 Windows 上的 WinSW 和 MacOS 和 Linux 上的 `nohup` 替換了 Java Service Wrapper。
跟上新的語言版本
過(guò)去幾個月發(fā)布了許多編程語言更新,SonarQube 9.6 在解析它們方面(miàn)趕上了。Analysis 現在可以理解這(zhè)些語言版本:
Scala 2.13.8 & 3.1.2
Ruby 3.1
Kotlin 1.7
Apex 54.12 EE DC
此外,SonarQube 9.6 正确解析了 Go 1.18,并且更新了 Go 規則以理解 Go 1.18 的語法添加,包括泛型。
關于蘇州華克斯信息科技有限公司
聯系方式:400-028-4008
0512-62382981
專業的測試及安全産品服務提供商
Fortify | Webinspect | AppScan
SonarQube | 極狐GitLab
LoadRunner | UFT(QTP) | ALM(QC)
Micro Focus 鉑金合作夥伴
SonarQube中國(guó)總代理
極狐GitLab鉑金級合夥伴
HCL中國(guó)合作夥伴
掃二維碼用手機看
更多資訊