Sonar提供集成化的代码质量与代码安全解决方案，有效应对上述挑战。通过对人工编写代码、AI生成代码及第三方开源组件的全面分析，Sonar有助于构建更安全、可靠且易于维护的软件系统，直接支持企业满足 SOC 2 的合规要求。

日前，创实信息联合全球代码质量和安全解决方案提供商Sonar成功举办了主题为“SonarQube Advanced Security 重磅发布：从源码到依赖项，构建全方位的代码安全防线”的网络研讨会，以期更好地帮助企业应对日益严峻的软件供应链安全挑战。本次研讨会吸引了众多来自金融、制造、互联网等行业的技术专家和企业管理者参与，共同探讨如何利用最新的SonarQube Advanced Security 功能，构建更加安全、可靠的软件开发生命周期。

本文将由 SonarQube 中国授权合作伙伴——创实信息，继续带您聚焦 SonarQube 高级安全（Advanced Security）的另一核心能力：软件成分分析（SCA）。以开发者为中心的 SCA 功能，助力全面保障代码与软件供应链的安全性。

SonarQube高级安全（Advanced Security）是 SonarQube 企业版（及更高版本）的扩展模块，代表了 SonarQube 在安全分析领域的重大突破。它将 SonarQube 的强大分析能力扩展至整个软件供应链，特别关注开源依赖项的安全性。这一目标通过两大核心功能实现：高级静态应用程序安全测试（SAST） 与 软件组件分析（SCA）。本文SonarQube中国授权合作伙伴-创实信息将带您深入了解SonarQube高级安全的关键功能之一 —— 高级SAST。

创实信息作为SonarQube中国授权合作伙伴，持续为中国企业提供本地化的技术支持和服务保障。本文中，我们将为您详细解读SonarQube Advanced Security 的核心特性与价值所在，助力您的团队在高速交付的同时，构建更加安全、可靠、合规的软件产品。

过去一年间，AI编码已经从新鲜事物演变成必要工具。然而，当前关于AI编码的讨论大多聚焦于“体验式编码（vibe coding）”这类相对“从零开始”的应用场景。但绝大多数的企业和开发者并不在这种理想的场景下工作。他们面对的是庞大而陈旧的代码库，规模可能达到数百万甚至数十亿行。在这些环境中，任何错误——无论是漏洞还是安全问题——代价都极其高昂。

Sonar宣布推出SonarQube Advanced Security——这是对SonarQube现有代码质量和安全分析功能的重大增强！包括软件组件分析（SCA）和高级静态应用程序安全测试（SAST）。它基于SonarQube现有的核心安全功能进行构建，并扩展其覆盖范围，涵盖第一方代码、第三方开源代码以及AI生成代码的全面安全分析。

现在，Sonar可以自动检测和审查GitHub项目中由GitHub Copilot生成的代码。该项功能已在SonarQube Server 2025.1 长期支持版本（LTA）中可用，并将于4月上线SonarQube Cloud。

最新的SonarQube Server 1 LTA（长期支持）版本（简称为2025.1）包含了一系列变革性的进步和广泛的改进，使其成为SonarQube Server历史上功能最丰富的LTA版本。无论您是开发人员、工程主管、DevOps工程师，还是安全与合规工程师，新的LTA版本都能为您的软件开发生命周期（SDLC）提供助力。

2019年，MongoDB发生的一起著名NoSQL注入漏洞事件影响了数千个数据库，给相关公司造成了重大经济损失。该事件凸显了妥善保障NoSQL数据库安全的重要性。但这并非个例。