Menu
Advanced Security 是 SonarQube 面向企业级应用推出的高级安全分析扩展,基于语义级 SAST 技术,深入识别 SQL 注入、XSS、命令注入等高危漏洞,全面覆盖自研代码、AI 生成代码与开源组件,助力企业在开发早期实现更智能、更精准的安全防护。
在开发早期检测代码中的安全漏洞
跨文件的数据流分析,有效防止注入类攻击
保障云基础架构配置的安全性
防止凭证、令牌和密钥等敏感信息泄露
扩展污点分析能力至依赖项,深入识别复杂漏洞:
全面的开源安全与合规风险管理能力:
Advanced SAST
依赖感知的污点分析,识别隐藏的安全漏洞
SCA
修复已知漏洞(CVE)
SCA
SCA
99% 的软件应用都会使用并依赖第三方库中的代码。然而,目前大多数 SAST 工具仅分析应用自身的代码,而将依赖库视为“黑盒”,无法深入扫描。
Advanced SAST 打破这一局限,将扫描范围扩展至开源依赖中的未知代码部分。通过对依赖库(包括其间接依赖)进行数据流分析,Advanced SAST 能发现传统工具无法检测到的深层安全漏洞。
目前,Advanced SAST 已支持 Java、C#、JavaScript 和 TypeScript,并适用于 SonarQube Server 和 SonarQube Cloud。它已涵盖数千个主流及常用的开源库,并具备自动扩展能力,未来将支持更多语言和库。其底层采用机器学习(ML)进行智能优化,确保分析高效、精准。
在软件开发生命周期(SDLC)的早期阶段即可开展 SAST 分析,有助于在代码部署和上线之前发现并修复安全漏洞。将 SAST 应用于开发环节,可大幅提升漏洞识别与修复的效率,防止被攻击者利用。
通过在拉取请求阶段进行 SAST 分析,将安全“左移”,让开发人员尽早获取安全问题反馈,在代码尚在记忆中、修复成本最低时及时处理问题。这一过程增强了开发团队的安全意识和响应效率。
SAST 是 SonarQube Server 与 SonarQube Cloud 默认内置的核心能力,作为常规代码分析的一部分自动运行,并可无缝集成至 DevSecOps 流水线中。
通过实施安全的代码开发实践,增强代码库的质量,组织可以防止恶意攻击者利用漏洞窃取敏感信息。
Sonar分析器在扫描代码时会检测出问题(包括bug和漏洞)以及安全热点,以识别安全问题。当Sonar发现代码中存在潜在的攻击点并需要修复时,会报告漏洞。需要开发人员审查和评估的安全敏感代码段将被归类为“安全热点”。
Sonar的安全规则还会检测代码中的硬编码凭证(密码)和硬编码的密钥。这项云密钥检测功能扩展了检测规则,可发现意外硬编码在代码中的密码、凭证、令牌、云访问密钥、API 密钥以及云账号/密钥信息,支持主流云服务商:AWS、GCP、Microsoft Azure、IBM 和 阿里云。
Advanced SAST 可快速扫描大量代码,在软件开发生命周期中节省时间与成本。通过 SAST 实现代码扫描自动化,有助于提升应用程序的整体安全水平,减少对人工代码审查的依赖,使开发人员能够专注于漏洞修复,同时保持高效且安全的开发流程。开发人员可在开发早期识别并解决代码质量和安全问题;系统提供可操作的洞察、安全报告和指标,推动持续改进,帮助团队跟踪并提升整体代码质量。
Advanced SAST 为复杂项目提供全面的应用程序安全跟踪与治理能力。它使安全审计人员能够在企业层面跟踪代码安全合规性,并评估软件资产面临的风险,通过详细的安全报告、管理视角汇总和PDF报告,为大型组织提供全面的风险评估支持。借助 Advanced SAST,安全负责人可以迅速掌握应用程序的整体安全状况。
在 SonarQube Server 企业版、数据中心版,以及 SonarQube Cloud 企业计划中,系统提供专属报告,用于跟踪应用代码在多个安全标准下的合规性,包括 OWASP Top 10、OWASP ASVS、CWE Top 25(2021、2020 和 2019)、STIG、CASA 以及 PCI DSS。SonarSource 报告帮助安全专业人员将安全问题转化为开发人员易于理解的语言,促进团队协作与问题解决。
Advanced SAST 提供对 30 多种编程语言及其框架的代码质量与安全分析,内置 6,000 多条 Clean Code 规则,并持续扩展语言与框架的覆盖范围。Advanced SAST 能在多个层级准确检测代码中的缺陷与安全漏洞,包括源代码、支持性代码(如配置代码、基础设施代码、脚本和测试代码)以及第三方代码(例如外部依赖和库),其真实阳性率(TPR)常常超过 90%。
安全覆盖范围广泛,涵盖跨站脚本(XSS)、SQL 注入、路径注入、密钥泄露、基础设施即代码(IaC)配置错误、钓鱼攻击等多种安全问题,全面保障应用程序的安全性与合规性。
助力开发者高效推进工作,提供可执行的解决方案专注于优先处理真正关键的问题,并提供清晰明确的修复指导,罗列问题列表,帮助团队高效解决问题,专注于持续构建与创新。
深入的开源安全洞察
与开源项目维护者建立的长期合同合作关系,为安全开发与快速漏洞响应提供了坚实的经济激励机制,有助于企业构建更主动的安全防护体系。同时,这些合作也带来了在许可证合规性与漏洞数据方面的独特洞察。
消除工具碎片化与开发负担
作为一体化的代码质量解决方案,SonarQube 可在现有开发流程中无缝分析全部代码,从 IDE 到 CI/CD 全流程集成,无需额外配置,显著降低管理成本,助力实现“左移”测试策略,提升开发效率与代码质量。
卓越的准确性与极速分析体验
以极低的误报率实现快速分析,帮助您的团队聚焦真实威胁与代码质量问题,避免干扰性噪音,高效推进问题修复与质量提升。
通过准确、可靠的数据应对开源许可的复杂性,助您从容规避法律与商业风险,确保企业合规运营。
全面覆盖所有代码中的安全问题,提供可执行的洞察与合规支持
提供详尽的安全问题信息,包括严重等级、变化趋势与修复建议,助力开发团队高效应对风险。
通过统一的质量与安全仪表盘,直观展示代码质量趋势与关键安全指标(KPI)。
自动生成符合 OWASP Top 10、CWE、PCI DSS、STIG 等主流标准的合规性安全报告。
支持按日、周或月自动生成与分发安全报告,便于管理层持续掌握安全状况。
SonarQube 是一款集成的代码质量与安全分析平台,提供可执行的洞察,助力团队更快构建更优质的软件。
通过快速、精准的全量代码分析,帮助交付更健壮、可靠、可维护的代码。
涵盖 SAST、污点分析、敏感信息检测(secrets detection)以及 IaC 扫描,适用于自研代码和 AI 生成代码的安全检测。
通过 Advanced SAST 和SCA(软件成分分析)扩展至开源代码,实现更深层次的安全保障。
作为 Sonar 官方授权的中国代理商,创实信息致力于帮助企业高效落地 SonarQube 及其 Advanced Security 功能,全面提升代码安全性与质量保障能力。
我们不仅提供从部署到培训的一站式服务,还能结合您的业务开发流程定制安全治理方案,帮助团队快速识别并修复关键漏洞。
无论您是首次引入代码审查工具,还是希望在现有系统中集成先进的代码安全能力,创实信息都能为您提供专业的技术咨询、实施部署、合规建议与持续支持,确保您在使用 SonarQube 最新安全功能的同时,始终走在 DevSecOps 实践前沿。
