La nuova e potente capacità analitica approfondita di Sonar rileva i problemi di sicurezza a livello di codice nascosto

codice libreria

Questa innovazione scopre le vulnerabilità create dall’interazione tra il codice sorgente e librerie di terze parti

Sonar, fornitore leader di soluzioni per il Clean Code (codice pulito), oggi ha annunciato un notevole progresso nella sua offerta per il Clean Code.

Ora gli sviluppatori possono scoprire automaticamente e correggere problemi di sicurezza derivanti dalle interazioni tra il codice sorgente degli utenti e le librerie open source di terze parti.

Denominata ‘deeper SAST’, il nuovo rilevamento avanzato risolve i problemi che gli strumenti SAST tradizionali non seguono perché non seguono il flusso all’interno del codice della libreria. I fornitori SAST tradizionali analizzano il codice dell’applicazione utente. Questi strumenti non analizzano il codice combinato e contrassegnano le librerie in modo non sofisticato, ignorando il contesto e l’uso all’interno della libreria. Il risultato è che le funzionalità della libreria sono considerate scatole nere, lasciando le organizzazioni all’oscuro del fatto che siano veramente sicure per un determinato contesto o meno. Inoltre, questi strumenti in genere supportano solo una manciata di framework popolari, spesso richiedendo configurazioni iniziali per l’installazione. Tutto ciò fa sì che i problemi di sicurezza creati dall’uso unico di librerie open source di terze parti non vengano rilevati.

Olivier Gaudin, CEO e co-fondatore di Sonar

“Il codice è codice, sia che sia scritto da uno sviluppatore del tuo team o che faccia parte di una libreria che risolve un problema specifico. I due diversi approcci mi hanno sempre infastidito e sono entusiasta del fatto che ora siamo in grado di analizzare tutti i codici allo stesso modo contemporaneamente, risolvendo quello che era considerato un problema impossibile”, ha affermato Olivier Gaudin, CEO e co-fondatore di Sonar. “Grazie ai più profondi progressi SAST apportati alla nostra soluzione Clean Code, le organizzazioni possono scoprire queste vulnerabilità e risolverle rapidamente man mano che il codice viene sviluppato”.

Sonar colma il divario del SAST tradizionale attraverso la sua analisi granulare delle interazioni del codice sorgente dell’utente con le dipendenze esterne, il tutto senza la necessità di alcuna configurazione speciale o costi incrementali. Questa più profonda innovazione SAST promuove la missione di Sonar di fornire alle organizzazioni gli strumenti necessari per raggiungere uno stato di codice pulito : codice coerente, intenzionale, adattabile e responsabile. Quando il codice aderisce a queste caratteristiche, il software diventa affidabile, gestibile e sicuro.

“Si stima che oltre il 90% delle applicazioni sfrutti librerie di terze parti e interagisca con il codice al loro interno, ma la maggior parte degli strumenti SAST non comunica agli sviluppatori quali dipendenze rendono vulnerabile il loro codice. La sicurezza è mission-critical e più problemi trovi e risolvi prima che possano causare danni, migliore sarà la tua attività “, ha affermato Rik Turner, Senior Principal Analyst che si occupa di sicurezza informatica presso Omdia. “Questa è l’essenza dell’ondata di sicurezza proattiva che stiamo vedendo nel settore informatico: trovala e correggila prima che venga sfruttata”.

SAST di Sonar

La funzionalità SAST più profonda di Sonar è disponibile senza costi aggiuntivi all’interno delle edizioni commerciali di SonarQube (autogestito) e SonarCloud (basato su cloud), strumenti di revisione del codice di analisi statica leader del settore che ispezionano e analizzano continuamente la base di codice utilizzando controlli di qualità per determinare se il codice soddisfa gli standard definiti per lo sviluppo e la produzione. Deeper SAST attualmente supporta i linguaggi di programmazione Java, C# e TypeScript e copre migliaia delle librerie open source più importanti e comunemente utilizzate, comprese le loro successive dipendenze (transitive).

Raggiungimento di uno stato di codice pulito

Sonar consente ai team di sviluppo di scrivere codice pulito fornendo loro gli strumenti e le best practice giusti, in modo che possano dedicare meno tempo alla risoluzione dei problemi e più tempo al raggiungimento degli obiettivi aziendali e di consegna. Abbinando la soluzione Sonar alla metodologia Clean as You Code dell’azienda (stabilire gli standard per mantenere pulito il codice nuovo, aggiunto o modificato) e la sua guida educativa per il codice chiamata “Learn as You Code”, gli sviluppatori hanno una risoluzione e consegna dei problemi più rapida, miglioramento del codice e può favorire la crescita professionale e la fidelizzazione del team. Oggi ci sono oltre sette milioni di sviluppatori che utilizzano Sonar.

Sonar si impegna inoltre attivamente con il suo ecosistema e le comunità di clienti, oltre alle partnership con diverse università per progetti di ricerca sulla sicurezza, software open source e comunità di start-up. Inoltre, Sonar dispone di un team dedicato di ricercatori di sicurezza che individuano e divulgano responsabilmente vulnerabilità zero-day sfruttabili nel software open source; questi risultati vengono utilizzati come ispirazione per nuove regole di sicurezza e rilevamenti per aiutare a trovare le vulnerabilità.

Scopri di più sulla nostra più profonda innovazione SAST e sulla soluzione Sonar (SonarQube, SonarCloud, SonarLint). Incontra gli esperti di Sonar al Black Hat USA, stand n. 2760 , 8-10 agosto.

A proposito di Sonar

Sonar consente a sviluppatori e organizzazioni di raggiungere sistematicamente uno stato di Clean Code in modo che tutto il codice sia adatto allo sviluppo e alla produzione. Applicando la metodologia Sonar Clean as You Code, le organizzazioni riducono al minimo i rischi, riducono il debito tecnico e ottengono più valore dal loro software in modo prevedibile e sostenibile.

La soluzione Sonar open source e commerciale – SonarLint , SonarCloud e SonarQube – supporta oltre 30 linguaggi di programmazione, framework e tecnologie di infrastruttura. Scelto da oltre 400.000 organizzazioni in tutto il mondo per ripulire più di mezzo trilione di righe di codice, Sonar è parte integrante della fornitura di software migliore .

BlogInnovazione.it

Autore