安全分析

针对开发者的代码安全

在代码审查中使用静态应用程序安全测试 (SAST)检测问题

及早反馈安全防范问题,为开发者赋能

代码安全不再只是安全团队的领域。

除了文字(DevSecOps、SDLC 等)之外,真正的机会在于开发人员使用SonarQube检测漏洞和安全热点
可以编写更具安全性的代码,对其进行解释,并给出适当的后续步骤。

获得主动权

在代码审查期间获得安全反馈,这是您了解更多信息并获得代码安全主动权的机会。

IDE 集成

在SonarQube中查找漏洞和安全热点,并在IDE中以SonarLint为指导进行修复。

质量关口

在您的质量关口中执行漏洞标准和安全热点审查,以确保只合并安全代码。

确保安全

对问题及其影响的深入理解会更好的修复以确保更安全的应用程序。

清晰的安全问题,明确的行动

以开发团队为主导的合理模式解决安全问题

热点

>

代码审查

安全热点是对安全敏感型代码的使用,它们仍需要人工审查才能确定是否存在问题。
随着开发人员编写代码并与安全热点进行交互,他们学习评估安全风险,同时对安全编码实践了解更多。

可以用于:

漏洞

>

代码更改/修复

安全漏洞需要立即采取行动。SonarQube 提供详细的问题描述和代码亮点,解释了代码存在风险的原因。
只需按照指导,签入修复程序并保护您的应用程序。

可以用于:

OWASP Top 10

OWASP十大安全漏洞列表代表了安全专家关于web应用程序最关键的安全风险的广泛共识。
SonarQube很好地覆盖了OWASP十大安全漏洞列表,支持多种语言,帮助您保护您的系统、数据和用户。

通过污点分析提供更大限度的保护

不要让不受信任的用户输入,危及您的代码安全

跟踪不良用户

确保用户提供的数据在到达关键系统(数据库、文件系统、操作系统等)之前经过清理,这有助于确保您的代码防范性。 污点分析在整个执行流程中跟踪不受信任的用户输入——不仅跨越方法,还跨越文件。

重要语言的关键安全规则

获取与关键语言高度相关的规则,帮助您确保代码安全。

企业级安全合规性跟踪

为您最复杂的项目提供全面的应用程序安全跟踪

OWASP/CWE安全报告

专用报告可让您针对 OWASP Top 10 和 CWE Top 25(所有三个版本:2021、2020 和 2019)跟踪代码安全性。 SonarSource 报告可帮助安全专业人员将安全问题转化为开发人员能够理解的语言。

PDF 下载

提供防范报告的PDF导出,包括项目安全概述和Top安全报告。

SonarQube中国授权合作伙伴——创实信息

提供SonarQube的咨询、销售、实施、培训及技术支持服务