SonarQube 9.9 LTS新版發(fā)布
- 分類:新聞資訊
- 作者:蘇州華克斯信息科技有限公司
- 來源:蘇州華克斯信息科技有限公司
- 發(fā)布時(shí)間:2023-02-13
- 訪問量:0
【概要描述】
SonarQube 9.9 LTS新版發(fā)布
【概要描述】
- 分類:新聞資訊
- 作者:蘇州華克斯信息科技有限公司
- 來源:蘇州華克斯信息科技有限公司
- 發(fā)布時(shí)間:2023-02-13
- 訪問量:0
SonarQube 9.9 LTS - 規模、安全性、速度
SonarQube 9.9 LTS版本正式發(fā)布,新的功能(néng)介紹如下,如需下載試用,請聯系我們。
更快的拉取請求分析
拉取請求 (PR) 分析顯著提高了速度。通過(guò)實施增量分析和服務器端緩存,僅分析更改的文件。
無論編程語言如何,您的 PR 分析都(dōu)將(jiāng)快得多——相同的高精度結果;隻是交付得更快。例如,一個擁有大約 300,000 行代碼的中型項目現在的分析速度是以前的兩(liǎng)倍多。這(zhè)意味著(zhe)在 SQ 8.x 上分析原本需要 5 分鍾的 PR,現在隻需不到 2 分鍾。
而且,對(duì)于基于 Git 的項目,我們還(hái)加快了您的第一個完整項目分析。任何使用 Git SCM 的人都(dōu)會(huì)發(fā)現,随著(zhe)初始責備數據的檢索改進(jìn),他們的第一次分析平均速度提高了 60%,速度提高了 90%。例如,對(duì)于具有 300K 行代碼的項目,主分支的第一次分析現在在不到 10 分鍾的時(shí)間内完成(chéng),與以前的版本相比,速度提高了 80%。
安全的雲原生應用程序
當您的應用程序遷移到雲時(shí),您不僅要保護源代碼,還(hái)要保護所有相關的配置和部署。我們增加了對(duì)三個流行的雲提供商的支持 - AWS,Google Cloud,Microsoft Azure - 及其底層技術:無服務器和SAM框架,AWS CDK,IaC與Terraform和CloudFormation,以及Kubernetes和Docker的容器化部署。
具有 TerraForm 和 Cloudformation 的基礎架構即代碼 (IaC)
使用 IaC 預配雲資源?我們添加了許多檢測不安全部署配置的新規則。
對(duì)于那些在Microsoft Azure和Google Cloud上進(jìn)行開(kāi)發(fā)的用戶,我們爲Azure提供了16個新的Terraform規則,爲GCP提供了20個新的Terraform規則。
對(duì)于那些在 AWS 上進(jìn)行開(kāi)發(fā)的用戶,我們提供了 26 條 CloudFormation 規則和 24 條 Terraform 規則。
Amazon Serverless/SAM Frameworks (Lambdas) & CDK
AWS Lambda 擁有越來越多的關鍵核心業務邏輯,可以成(chéng)爲許多注入攻擊的入口點。SonarQube 爲 AWS Lambda 和 AWS CDK 提供了新規則,可幫助您編寫和部署更安全的雲原生應用程序。
AWS Lambdas:
SonarQube分析在YAML文件中内聯定義的JavaScript lambdas以查找安全熱點。在商業版本中,SonarQube 通過(guò)檢測全套注入漏洞來保護您的 lambda,從而保護您的雲應用程序免受惡意用戶數據的侵害。對(duì)于使用 AWS Serverless Application Model (SAM)/CloudFormation 或 Serverless 配置的 AWS Lambda,SonarQube 能(néng)夠將(jiāng)全方位的污點分析規則應用于用 Python、JavaScript/TypeScript 編寫并在 CF、.yml 或無服務器文件中聲明的 AWS lambda 邏輯。
AWS CDK:
對(duì)于那些使用 JavaScript/TypeScript 或 Python 描述其 AWS CDK 的 AWS 基礎設施的用戶,SonarQube 現在提供了涵蓋權限和訪問控制、可追溯性、加密、公共訪問等的新規則,允許您安全地使用 AWS CDK。
适用于擴展組織的企業級功能(néng)
我們在此 LTS 中添加了許多與訪問管理、管理、治理和報告相關的功能(néng),以幫助您管理 SonarQube 實例和源代碼資産組合的安全性和管理。
報告,報告和更多報告!
新的和改進(jìn)的安全性與合規性報告、項目和項目組合報告以及用于内部和外部合規性的 PDF 報告。
新的安全性和合規性報告涵蓋支付卡行業數據安全标準(PCI DSS)v3.2和v4.0以及OWASP應用程序安全驗證标準(ASVS),因此組織可以根據這(zhè)些重要的行業标準衡量其合規性。此外,CWE Top 25 和 OWASP Top 10 2021 報告可讓您跟蹤代碼庫針對(duì)已識别威脅的安全性。
新的項目級報告,因此經(jīng)理現在可以在交付前定期清楚地監控其項目的狀态和質量。現在,任何人都(dōu)可以通過(guò)電子郵件訂閱以接收項目狀态PDF。
重新設計項目組合演示文稿,以將(jiāng)重點放在儀表闆 UI 和 PDF 報告中新代碼的狀态上。在SonarQube 9.9 LTS中,經(jīng)理和開(kāi)發(fā)人員將(jiāng)分享對(duì)其項目健康狀況的全新統一理解,以實現更豐富,更高效的協作。
還(hái)有投資組合支持和指标徽章!經(jīng)理可以創建新的項目組合來跟蹤項目分支并跟蹤同一項目中的多個分支。從社區版開(kāi)始,用戶可以通過(guò)公共和私人項目的指标徽章來展示他們的項目運行狀況和穩定性。
操作和管理SonarQube更容易
審計日志記錄、安全令牌處理、改進(jìn)的用戶管理和用戶通信使 SonarQube 實例的管理變得更加容易。
審核日志記錄允許管理員使用易于分析的日志跟蹤安全敏感型更改,例如用戶、項目和權限的更新,以便輕松了解誰在何時(shí)更改了什麼(me)。
安全令牌處理管理員現在可以通過(guò)全局設置新令牌的最長(cháng)令牌生存期來強制令牌過(guò)期。此外,您現在還(hái)可以創建項目令牌。
用戶管理 SCIM 集成(chéng),用于同步用戶從 Okta(SAML) 系統停用,以自動停用用戶記錄并使令牌失效,以消除任何潛在的安全漏洞。
通信和登錄指南允許管理員向(xiàng)用戶提供自定義消息,例如,提供有關使用哪些憑據進(jìn)行登錄的指導。管理員還(hái)可以顯示有關服務器停機時(shí)間、維護等的大量通信。
實例管理更容易。您可以使用 Kubernetes(僅限數據中心版)部署 SQ 集群,并增加對(duì)所有版本的 Prometheus 監控的支持。
從社區版開(kāi)始,我們增加了對(duì) SAML 請求簽名和斷言加密的支持,以實現安全的 SAML 事(shì)務,以便組織可以委派身份驗證并簡化單點登錄。管理員現在有一個按鈕來測試配置,并通過(guò)我們大大改進(jìn)的文檔獲取有關如何配置 SAML 的更多信息。最後(hòu)但并非最不重要的一點是,管理員現在還(hái)可以將(jiāng)身份驗證委托給Bitbucket Cloud。
UI改進(jìn),更豐富的教育指導和新的集成(chéng)
如果您不知道(dào)如何修複它們,那麼(me)知道(dào)代碼中存在問題是不夠的。我們添加了豐富的教育内容,使大多數污點分析規則易于理解,并與您的特定代碼和框架相關(在開(kāi)發(fā)人員版及更高版本中可用)。
我們還(hái)在UI中添加了清晰度和重點,以提高整體可訪問性,目标是更接近WCAG合規性。
在社區版中,我們添加了 Bitbucket 管道(dào)和 GitHub 操作的功能(néng),以觸發(fā)分析和質量門狀态。加上對(duì)Bitbucket雲的全面(miàn)集成(chéng)支持,現在包括項目入職。
使用 CodeMagic CI/CD?我們現在支持分支和 PR 的檢測,因此開(kāi)發(fā)人員可以在他們選擇的 DevOps 平台中獲得 SonarQube 的優勢。
許多新規則,包括移動版 Kotlin。
編寫安卓應用程序?SonarQube 9.9 LTS 帶來了新的 Kotlin 規則,用于檢測不安全的網絡通信、有問題的加密和數據安全性。商業版包括各種(zhǒng)适用于 Java 的 Android 污點分析規則,以确保符合移動應用安全驗證标準 (MASVS) 數據存儲和隐私要求。現在,您的應用程序在提交到 Google Play 商店之前,從開(kāi)發(fā)中就(jiù)安全了。
您還(hái)可以從編程語言的幾個新規則中受益。如果你用 JavaScript 編程,我們添加了新的 React 規則來查找無限循環、死代碼和規則,以編寫更好(hǎo)的 Mocha 和 Chai 測試。對(duì)于C++編程,我們添加了支持 C++ 20 個協程的新規則,并改進(jìn)了常用編譯器的精度和分析配置。用 Python、Java、JS/TS 或 PHP 編寫正則表達式?我們強大的規則可幫助您編寫高效、無錯誤的正則表達式。對(duì)于 Java,我們添加了新規則以防止運行時(shí)錯誤和沖突,現在支持 Java 19 解析。Java用戶可以看到他們的第一個項目分析的顯著(zhe)提升 - 平均30%和高達60%。這(zhè)隻是一瞥而已!訪問我們的規則存儲庫,查看每種(zhǒng)語言的全面(miàn)覆蓋範圍。
“編程時(shí)清潔”,“清潔代碼”狀态的口頭禅
我們的使命深深植根于這(zhè)樣一個事(shì)實,即“清潔即代碼”方法是組織達到“清潔代碼”狀态的最可持續方式。我們希望每個組織都(dōu)能(néng)實現這(zhè)一目标。這(zhè)就(jiù)是我們微調質量門 (QG) 工作流程的原因,以幫助您練習“編程即清理”。現在可以輕松識别和修複不符合“代碼即清潔”的質量門。
編寫幹淨代碼的更流暢體驗
從您最喜歡的 SONARLint IDE開(kāi)始,到開(kāi)發(fā)工作流程的每個階段,我們添加了許多增強功能(néng),以簡化幹淨的代碼交付。
特别是,我們對(duì)SonarLint中的簡單連接模式設置進(jìn)行了改進(jìn),添加了更新以提供從SonarQube到連接的IDE的質量配置文件的實時(shí)同步,并增加了項目的分支感知。我們還(hái)添加了檢測雲機密的新規則和快速修複,以便在您使用 SonarLint 在 IDE 中編碼時(shí)即時(shí)自動修複某些問題。
關于蘇州華克斯信息科技有限公司
聯系方式:400-028-4008 0512-62382981
專業的測試及安全産品服務提供商
Fortify | Webinspect | AppScan | SonarQube | 極狐GitLab
LoadRunner | UFT(QTP) | ALM(QC)
Micro Focus 鉑金合作夥伴 | SonarQube中國(guó)總代理
極狐GitLab鉑金級合夥伴 | HCL中國(guó)合作夥伴
掃二維碼用手機看
更多資訊