newsbanner
干净代码(Clean Code)实践如何帮助您留住开发人才
如果开发人员永远没有时间来尝试新的、令人兴奋的事情,那么最终可能会去其他地方发挥他们的编码才能。 本篇博客文章中,Sonar分享了开发人员如何通过掌握干净代码实践来让工作变得更简单、更有趣,最终使他们对工作重燃热情。 作为SonarQube授权合作伙伴,创实持续关注代码安全领域,为中国用户带来全球范围内的优秀工具和解决方案,帮助企业实现开发运营安全一体化。
阅读更多
SonarQube即将亮相第十八届GOPS全球运维大会
2022年8月19日-20日,第十八届GOPS全球运维大会将于深圳湾万丽酒店拉开帷幕。SonarQube即将亮相此次大会,为参展嘉宾带来代码质量和安全领域的干货。
阅读更多
如何判断静态代码质量分析工具的性能?这五大因素必须考虑
静态代码质量分析工具能够查找常见的已知错误和漏洞,例如内存泄漏或缓冲区溢出,并检查代码是否符合各种编码标准。使用静态代码质量分析工具有助于在开发过程中分析代码,并在SDLC阶段的早期检测致命缺陷。 本文中,SonarSource的社区经理G....
阅读更多
产品好不好,谁说了算?Sonar提出分析的性能基准,帮助您轻松判断产品性能及表现
近日,Sonar产品经理宣布了Sonar全新的、明确的性能指标,以更好地与其他有相同目标或结果的工具进行比较。 作为SonarQube授权合作伙伴,创实持续关注代码安全领域,为中国用户带来全球范围内的优秀工具和解决方案,帮助企业实现开发运营安全一体化。
阅读更多
使用Sonar来优化您的基础架构代码
如今,越来越多的企业采用基础架构即代码(Infrastructure as Code,简写为IaC)技术。IaC是一种通过代码(而非手动流程)来管理和配置基础架构的方法。通过使用IaC技术,企业可以方便地配置和管理云基础架构,实现敏捷性,同时也可以在开发的早期阶段嵌入安全性,减少被攻击的风险。但是,如果IaC使用不当,就会带来一些安全风险,从而引发数据泄露等问题。
阅读更多
如何限制XXE解析?
如何限制XXE解析? 在我的上一篇文章中,我们明白了如何配置XML解析器来实现全面禁用XXE声明和扩展。这是一个简单但严格的解决方案,可能很难在您的项目中实现。所以今天,我们将讨论如何精确地限制XXE。同样,我们的示例代码将主要使用Java代码,同时也参考其他语言的代码。 限制外部连接到授权协议 Java...
阅读更多
如何禁用XXE处理?
如何禁用XXE处理? 在我的上一篇文章中,我谈到了在目前流行的开源项目中发现的XXE漏洞,以及如何更全面地评估该类问题。今天我将讨论禁用XXE处理的几种策略。 外部实体(XXE)和内部实体对于构建简洁的XML文档非常重要。防止出现XXE漏洞的适当办法取决于您的项目需要。它可以像完全禁用外部实体一样简单,也可以只对您需要的实体和信任的实体进行稍微复杂一点的处理就可以有效解决。 与任何其他被研究的语言相比,Java语言,尤其是JAXP...
阅读更多
不要害怕XXE漏洞:了解它们的凶猛之处以及检测方法
不要害怕XXE漏洞:了解它们的凶猛之处以及检测方法 今天,XML 外部实体 (XXE) 漏洞仍然无处不在,尽管多年来针对这些漏洞提供保护的建议一直是安全标准的一个组成部分。在本篇文章中,我们将尝试揭开...
阅读更多
西门子选择Sonarqube作为跨部门代码质量分析的主要工具
西门子选择Sonarqube作为跨部门代码质量分析的主要工具 西门子软件工厂通过集成 SonarQube 与 Microsoft ALM 工具和技术,提高了 4000 万行代码的质量。 西门子提供独特的自动化产品组合,从集成驱动器、智能控制器到创新的...
阅读更多