Sonar宣布推出SonarQube Advanced Security,大幅提升现有代码质量和安全能力
本文来源sonarsource.com,由SonarQube中国授权合作伙伴-创实信息翻译整理。
联系试用:021-61210910,customer@shcsinfo.com
近日,Sonar宣布推出SonarQube Advanced Security——这是对SonarQube现有代码质量和安全分析功能的重大增强
即将正式推出的SonarQube Advanced Security,将包括软件组件分析(SCA)和高级静态应用程序安全测试(SAST)。它基于SonarQube现有的核心安全功能进行构建,并扩展其覆盖范围,涵盖第一方代码、第三方开源代码以及AI生成代码的全面安全分析。
现代软件开发面临何种安全性挑战?
现代软件开发速度飞快,广泛借助AI生成代码,并依托第三方的开源库进行构建。然而,这种高速度往往使安全性被抛在脑后。漏洞常常被发现得太晚,不是在发布前夕,就是在部署之后——这会导致代价高昂的返工、生产延误以及风险增加。
传统的安全工具由于大量误报让团队不堪重负,忽视了第三方开源代码中隐藏的风险,还使合规性变成一项繁琐的任务,从而加剧了这一问题。
为了应对这些挑战,开发团队需要一种主动的、以开发者为核心的安全方法——这种方法要能够无缝融入他们的工作流程,并确保软件代码的所有部分都安全无虞。
SonarQube已提供的安全分析功能
SonarQube能够被深度集成到开发者的工作流程中,从集成开发环境(IDE)到持续集成/持续交付(CI/CD),并提供一体化的代码质量分析和代码安全保障。它已经具备强大的核心安全功能,包括:
静态应用程序安全测试(SAST):识别第一方代码和AI生成代码中的漏洞。
污点分析:跨文件跟踪不可信的数据流,以检测潜在的安全风险。
密钥检测:防止敏感信息(如API密钥)在代码中暴露。
基础设施即代码(IaC)扫描:保护云基础设施配置的安全性。
安全报告:针对 OWASP Top 10、PCI DSS、STIG、CASA 和 CWE Top 25 等标准生成代码合规性报告。
这些功能侧重于保护第一方代码和AI生成的代码,帮助团队在开发早期发现漏洞。
全新集成的代码质量与安全分析解决方案:SonarQube Advanced Security
SonarQube Advanced Security将上述安全保护扩展到第三方开源代码,为现代代码库提供全面的安全覆盖。
Advanced Security主要功能包括:
软件组件分析(SCA):
漏洞识别:检测、优先排序并修复第三方开源代码依赖关系中的漏洞(包括 CVE)。
许可证合规性:确保所有第三方组件都符合组织的许可策略。
SBOM(软件物料清单):生成软件组件的详细清单,以了解、管理和报告代码的组成情况。
高级SAST:
SonarQube长期以来一直为第一方代码提供SAST和污点分析,但高级SAST(以前称为深度 SAST)进一步扩展了这种分析,包括第一方和第三方代码之间的交互,从而发现更深层、更复杂的漏洞。
借助Advanced Security,SonarQube将帮助直面安全挑战,并提供统一的解决方案:
覆盖所有代码源进行主动的漏洞管理和供应链管理
全面的安全和质量分析,涵盖第一方代码、第三方开源代码和AI生成的代码
通过SBOM生成和许可证跟踪功能,简化合规性
SonarQube Advanced Security的推出,是Sonar最近收购Tidelift并进行整合的第一步。Sonar现在能够通过与开源维护者直接合作,来提升第三方代码的质量和安全性。用户也因此能够对误报、可利用性和依赖风险的缓解措施获得可靠洞察。
你需要了解的SonarQube五大优势
SonarQube由开发者专为开发者打造,帮助团队大幅提升工作效率。SonarQube可确保整个代码库的安全性、可靠性且可维护性,帮助更快地构建更好、更安全的应用程序。
其核心优势包括:
1、全面的代码覆盖
SonarQube依托6000多条规则,为30多种编程语言和框架提供代码质量和安全分析,确保所有类型代码的安全性(SAST、污点分析、SCA、密钥检测、IaC扫描)、可靠性和可维护性。
2、广泛的检测和修复能力
发现并修复各种安全问题,包括SQL注入、跨站点脚本(XSS)、缓冲区溢出、安全配置错误、机密泄漏等。
3、无与伦比的精确度和速度
凭借行业领先的大于90%的真阳性率(TPR)和小于10%的假阳性率(FPR),SonarQube可实时检测并修复代码质量和安全问题,即使跨多个文件和库也能轻松应对。
4、强制执行编码标准
使用SonarQube,开发人员可以在编码时发现实际问题,从而减少返工,并从一开始就将安全性嵌入代码。企业可以为下游安全审查和生产设定明确的标准,使开发人员和应用安全 团队真正实现“左移”。
5、满足合规性和监管要求
SonarQube可简化对关键编码标准的合规性管理。内置报告功能可跟踪和管理代码安全性,涵盖OWASP Top 10、OWASP ASVS、PCI DSS、STIG、CASA 和 CWE Top 25 等标准。SonarQube还与NIST安全软件开发框架(SSDF)保持一致,帮助企业更轻松地满足监管要求。
注:SonarQube Advanced Security计划于2025年5月底正式发布。它将以全新可购买许可证的形式推出,适用于SonarQube Server Enterprise Edition 2025第3版,并在稍后支持SonarQube Cloud Enterprise版。
咨询SonarQube中国授权合作伙伴-创实信息,立即体验SonarQube企业版,构建更好、更安全的应用!
了解SonarQube:https://www.shcsinfo.com/sonarqube
联系方式:021-61210910、customer@shcsinfo.com