安全分析

面向所有人的代码安全检测

使用静态应用程序安全测试(SAST)在代码审查中检测安全问题

security-hero@2x

尽早地反馈安全问题,授权给开发人员

安全问题不应被视为安全团队实际工作范畴内

除了基于DevSecOps, SDLC等这些概念的名词外,对开发人员来说真正的机会在于通过Sonarqube检测漏洞,解释其现象以及给出适宜的后续步骤等方式,书写具有更加安全性的代码。

[su_tabs style="default" active="1" vertical="no" mobile="stack" class=""] [su_tab title="获得参与感" disabled="no" anchor="" url="" target="blank"]

获得参与感

在代码审查期间获得安全性反馈是你学习的机会,从中获得参与感。

[/su_tab] [su_tab title="保持安全" disabled="no" anchor="" url="" target="blank" class=""]

保持安全

对问题及其含义的深刻理解可以带来更好的解决方案和更安全的应用程序。

[/su_tab] [su_tab title="增加产量" disabled="no" anchor="" url="" target="blank" class=""]

增加产量

在工作流程的后续阶段修复安全性会花费时间和金钱–简单明了。 如果缩短反馈循环,产量自然会增加。

[/su_tab] [su_tab title="提升编码能力" disabled="no" anchor="" url="" target="blank" class=""]

提升编码能力

直接让开发团队参与进来可以增加有关安全威胁本质的知识共享,并提高整体的编码能力。

[/su_tab] [/su_tabs]

清除安全问题,以及相关行为

以开发团队明智的主导方式解决安全问题

热点代码

安全热点突出显示了可疑的代码片段,开发人员应对其进行审查和分类,因为它们可能隐藏漏洞。

在编码和发现热点时,您将学习如何评估安全风险,同时更加熟悉安全编码做法。

漏洞

安全漏洞问题需要立即采取行动。SonarQube提供了详细的问题描述和代码亮点,以解释为什么您的代码存在风险。

只需按照指南进行操作,签入修复程序并保护您的应用程序安全即可。

你讨厌检测误判吗?

我们也是。通过将热点与漏洞区分开来,SonarQube可以定位始终可操作的安全漏洞。与开放社区的不断互动使我们能够兑现这一承诺。
商业版特色

通过检测注入缺陷提供最大保护

不让非信任的用户输入通过你的代码,并破坏你的应用程序

追踪“不良行为者”

有时也被称为“污点分析”-它可以在整个执行流程中跟踪不受信任的用户输入。

应用程序安全性来自于在达到关键系统组件(数据库,文件系统,操作系统等)之前,确保已对数据进行了清理。

Java

PHP

C#

专用UI跟踪非信任的用户输入

快速将任何问题从漏洞源导航定位到发生危险的代码位置(“汇聚结点”)。

污染分析&注入检测

开始体验高级开发版

从企业级的角度跟踪安全合规性

针对复杂项目的应用程序进行全面安全跟踪

使用专有框架?

将它们输入SonarQube引擎

企业版使你可以声明自定义框架,用于留存或者捕获用户输入。然后,我们的防注入缺陷检测引擎会跟踪未经处理的用户输入。

OWASP/SANS安全报告

你可以根据OWASP和SANS标准的专用安全报告跟踪应用程序的安全性。

OWASP/SANS安全报告

开始体验企业版