Llamada 'SAST más profunda', la nueva detección avanzada resuelve problemas que las herramientas SAST tradicionales no siguen porque no siguen el flujo dentro del código de la biblioteca. Los proveedores tradicionales de SAST analizan el código de la aplicación del usuario. Estas herramientas no analizan el código combinado y marcan las bibliotecas de una manera poco sofisticada, ignorando el contexto y el uso dentro de la biblioteca. El resultado es que las características de la biblioteca se consideran cajas negras, lo que deja a las organizaciones sin saber si son realmente seguras para un contexto determinado o no. Además, estas herramientas generalmente solo admiten un puñado de marcos populares, que a menudo requieren una configuración inicial para instalar. Todo esto hace que los problemas de seguridad creados por el uso exclusivo de bibliotecas de código abierto de terceros pasen desapercibidos.
“El código es código, ya sea que esté escrito por un desarrollador de su equipo o sea parte de una biblioteca que resuelve un problema específico. Los dos enfoques diferentes siempre me han preocupado y estoy encantado de que ahora podamos analizar todos los códigos de la misma manera, resolviendo lo que antes se consideraba un problema imposible”, dijo Olivier Gaudin, CEO y cofundador de Sonar. “Gracias a los avances más profundos de SAST realizados en nuestra solución Clean Code, las organizaciones pueden descubrir estas vulnerabilidades y corregirlas rápidamente a medida que se desarrolla el código”.
Sonar cierra la brecha SAST tradicional a través de su análisis granular de las interacciones del código fuente del usuario con dependencias externas, todo sin necesidad de ninguna configuración especial o costos incrementales. Esta innovación SAST más profunda promueve la misión de Sonar de equipar a las organizaciones con las herramientas que necesitan para alcanzar un estado de código limpio : código consistente, intencional, adaptable y responsable. Cuando el código se adhiere a estas características, el software se vuelve confiable, manejable y seguro.
“Se estima que más del 90 % de las aplicaciones aprovechan las bibliotecas de terceros e interactúan con el código dentro de ellas; sin embargo, la mayoría de las herramientas SAST no les dicen a los desarrolladores qué dependencias hacen que su código sea vulnerable. La seguridad es una misión crítica, y cuantos más problemas encuentre y solucione antes de que puedan causar daños, mejor será para su negocio”, dijo Rik Turner, analista principal sénior que cubre seguridad cibernética en Omdia. "Esa es la esencia de la ola de seguridad proactiva que estamos viendo en la industria de TI: encuéntrela y arréglela antes de que sea explotada".
La funcionalidad SAST más profunda de Sonar está disponible sin costo adicional dentro de las ediciones comerciales de SonarQube (a su propio ritmo) y SonarCloud (basado en la nube), herramientas de revisión de código de análisis estático líderes en la industria que inspeccionan y analizan continuamente la base del código mediante controles de calidad para determinar si el código cumple con los estándares defiacabados para el desarrollo y la producción. Deeper SAST actualmente es compatible con los lenguajes de programación Java, C# y TypeScript y cubre miles de las bibliotecas de código abierto más importantes y comúnmente utilizadas, incluidas sus sucesivas dependencias (transitivas).
Sonar empodera a los equipos de desarrollo para que escriban un código limpio al proporcionarles las herramientas adecuadas y las mejores prácticas, para que puedan dedicar menos tiempo a la resolución de problemas y más tiempo a alcanzar los objetivos comerciales y de entrega. Combinando la solución Sonar con la metodología Limpie mientras codifica company (que establece estándares para mantener limpio el código nuevo, agregado o modificado) y su guía de educación de código llamada "Aprende mientras codificas", los desarrolladores tienen una resolución y entrega de problemas más rápida, mejoran el código y pueden fomentar el crecimiento profesional y la retención del equipo. Hoy en día, hay más de siete millones de desarrolladores que utilizan Sonar.
Sonar también se involucra activamente con su ecosistema y comunidades de clientes, así como con asociaciones con varias universidades para proyectos de investigación de seguridad, software de código abierto y comunidades de empresas emergentes. Además, Sonar cuenta con un equipo dedicado de investigadores de seguridad que encuentran y divulgan de manera responsable vulnerabilidades de día cero explotables en software de código abierto; estos hallazgos se utilizan como inspiración para nuevas reglas de seguridad y detecciones para ayudar a encontrar vulnerabilidades.
Obtenga más información sobre nuestra innovación SAST más profunda y la solución Sonar (SonarQube, SonarCloud, SonarLint). Conozca a los expertos de Sonar en Black Hat USA, stand no. 2760, 8-10 de agosto.
Sonar permite a los desarrolladores y organizaciones lograr sistemáticamente un estado de código limpio para que todo el código sea adecuado para el desarrollo y la producción. Al aplicar la metodología Sonar Clean as You Code, las organizaciones minimizan el riesgo, reducen la deuda técnica y obtienen más valor de su software de una manera predecible y sostenible.
La solución Sonar comercial y de código abierto (SonarLint, SonarCloud y SonarQube) admite más de 30 lenguajes de programación, marcos y tecnologías de infraestructura. Con la confianza de más de 400.000 organizaciones en todo el mundo para limpiar más de medio billón de líneas de código, Sonar es una parte integral para ofrecer un mejor software. .
BlogInnovazione.it
El lunes pasado, el Financial Times anunció un acuerdo con OpenAI. FT otorga licencia para su periodismo de clase mundial...
Millones de personas pagan por servicios de streaming pagando cuotas de suscripción mensuales. Es opinión común que usted…
Coveware by Veeam seguirá brindando servicios de respuesta a incidentes de extorsión cibernética. Coveware ofrecerá capacidades forenses y de remediación...
El mantenimiento predictivo está revolucionando el sector del petróleo y el gas, con un enfoque innovador y proactivo para la gestión de plantas.…
