Sonaro provedor líder da qualidade integrada de código e soluções de segurança de código, está revelando a segurança avançada do Sonarqube, um avanço significativo na segurança do código que estará disponível em breve. Projetado para estender os recursos de análise da Sonarqube-que atualmente abrangem o código gerado pela primeira parte e gerado pela IA-para incluir o código de fonte aberta de terceiros, este anúncio permite que o SONAR entregue a primeira solução totalmente integrada para os desenvolvedores encontrarem e corrigem a qualidade do código e os problemas de segurança de código na fase de desenvolvimento do ciclo de vida do desenvolvimento de software (SDLC), de acordo com a empresa.
O código -fonte aberto tem um papel significativo a desempenhar no desenvolvimento moderno de aplicativos. De acordo com Donald Fischer, co-fundador da Tidelift, agora parte do sonar, a extensão do Sonarqube é “parte do fornecimento de uma solução abrangente que abrange todos os aspectos da qualidade e segurança do código. Toda aplicação moderna de qualquer significado ou escala incluirá o software de terceiros e de código aberto. É apenas parte do processo moderno de desenvolvimento de software. ”
“Se você deseja ter uma visão boa e abrangente da qualidade de todo o seu código e segurança de todo o seu código, você realmente deseja cobrir o novo código líquido que suas equipes estão escrevendo e também o código-fonte aberto de terceiros que eles estão adquirindo como componentes, como bibliotecas ou dependências desses aplicativos”, continuou Fischer.
A Sonarqube Advanced Security vem com uma variedade de novos recursos centrados no fortalecimento dos recursos existentes, no que se refere a um código-fonte aberto de terceiros. Esses recursos incluem:
- Análise de composição de software (SCA): Ajuda a identificar vulnerabilidades em dependências de terceiros, permitindo que os usuários rastreem, gerenciem e mitem vulnerabilidades conhecidas (incluindo CVEs). Também garante a conformidade com as políticas de licença de software das organizações, além de gerar uma lista detalhada de materiais de software (SBOMs) que impulsionam uma maior compreensão da composição do código.
- Testes avançados de segurança de aplicativos estáticos (SAST): Melhora a detecção de vulnerabilidades ocultas nas interações de código com dependências de terceiros, que as ferramentas tradicionais geralmente deixam de detectar.
“Uma das coisas que o Sonar desenvolveu ao longo dos anos é uma forma avançada de tecnologia SAST … que permite que os desenvolvedores identifiquem os fluxos de dados onde os dados estão fluindo, não apenas através de componentes que foram de autoridade na organização, mas também através desses componentes de código aberto de terceiros”, explicou Fischer. “O acoplamento da lista de materiais de software da Tidelift, detecção de vulnerabilidades e recursos de conformidade de licença com essa capacidade avançada de análise estática do SONAR – eles combinam muito bem para fornecer uma solução realmente completa e abrangente no mercado”.
Os recursos mais recentes da Sonarqube se baseiam em seus pontos fortes existentes, incluindo:
- Análise de Taint: Descobrir vulnerabilidades de injeção (como scripts cruzadas, injeção de SQL) que abrangem vários arquivos, garantindo que a entrada do usuário seja usada com segurança em todo o aplicativo.
- Detecção de segredos: Digitaliza automaticamente segredos codificados, ajudando as equipes a impedir o vazamento de credenciais.
- Infraestrutura como varredura de código (IAC): Superfícies de segurança incorretamente em infraestrutura como código para garantir ambientes de produção seguros.
- Relatórios de segurança: Relatórios sobre a conformidade do código para os padrões, incluindo o OWASP Top 10, PCI DSS, Stig, Casa e CWE Top 25.
- Configuração personalizada do mecanismo de segurança: Configurações de segurança ajustadas para as necessidades exclusivas das organizações.
“Com esses recursos se unindo, o Sonar está realmente ajudando a liderar a evolução do desenvolvimento de software, fornecendo ferramentas abrangentes e … sobrecarregar os desenvolvedores para construir melhor e mais rápido”, disse Fischer. “Os desenvolvedores têm muito em seu prato. Eles não precisam lidar manualmente com o rastreamento de problemas em seu código ou em código de terceiros. Sonar… está realmente sendo seu parceiro (por) inovando rapidamente e adicionando novos recursos para servir a esses desenvolvedores. ”
Para saber mais sobre a segurança avançada do Sonarqube, visite https://www.sonarsource.com/.
Luis es un experto en Inteligência Empresarial, Redes de Computadores, Gestão de Dados e Desenvolvimento de Software. Con amplia experiencia en tecnología, su objetivo es compartir conocimientos prácticos para ayudar a los lectores a entender y aprovechar estas áreas digitales clave.
