Naujasis išplėstinis aptikimas, vadinamas „gilesniu SAST“, išsprendžia problemas, kurių tradiciniai SAST įrankiai neseka, nes nesilaiko bibliotekos kodo srauto. Tradiciniai SAST pardavėjai analizuoja vartotojo programos kodą. Šie įrankiai neanalizuoja kombinuoto kodo ir nežymi bibliotekų nesudėtingai, nepaisydami konteksto ir naudojimo bibliotekoje. Rezultatas yra tai, kad bibliotekos funkcijos laikomos juodosiomis dėžėmis, todėl organizacijos nežino, ar jos tikrai saugios tam tikram kontekstui, ar ne. Be to, šie įrankiai paprastai palaiko tik kelias populiarias sistemas, kurias dažnai reikia įdiegti. Dėl viso to saugumo problemos, atsiradusios dėl unikalaus trečiųjų šalių atvirojo kodo bibliotekų naudojimo, lieka nepastebėtos.
„Kodas yra kodas, nesvarbu, ar jį parašė jūsų komandos kūrėjas, ar bibliotekos dalis, kuri išsprendžia konkrečią problemą. Du skirtingi požiūriai mane visada vargino, ir aš džiaugiuosi, kad dabar galime vienodai analizuoti visus kodus, išspręsdami tai, kas anksčiau buvo laikoma neįmanoma“, – sakė Olivier Gaudinas, „Sonar“ generalinis direktorius ir vienas iš įkūrėjų. „Dėl gilesnių SAST pažangų, padarytų mūsų švaraus kodo sprendime, organizacijos gali aptikti šias spragas ir greitai jas ištaisyti, kai kodas yra kuriamas.
Sonaras užpildo tradicinį SAST atotrūkį, atlikdamas detalią vartotojo šaltinio kodo sąveikos su išorinėmis priklausomybėmis analizę, be jokios specialios konfigūracijos ar papildomų išlaidų. Ši gilesnė SAST naujovė skatina „Sonar“ misiją aprūpinti organizacijas įrankiais, kurių joms reikia norint pasiekti švarus kodas : nuoseklus, apgalvotas, prisitaikantis ir atsakingas kodas. Kai kodas atitinka šias charakteristikas, programinė įranga tampa patikima, valdoma ir saugi.
„Apskaičiuota, kad daugiau nei 90 % programų naudojasi trečiųjų šalių bibliotekomis ir sąveikauja su jose esančiu kodu, tačiau dauguma SAST įrankių kūrėjams nenurodo, dėl kokių priklausomybių jų kodas tampa pažeidžiamas. Saugumas yra labai svarbus uždavinys, ir kuo daugiau problemų rasite ir ištaisysite, kol jos nesukels žalos, tuo geriau bus jūsų verslui“, – sakė Rikas Turneris, vyresnysis „Omdia“ kibernetinio saugumo analitikas. „Tokia yra aktyvaus saugumo bangos, kurią matome IT pramonėje, esmė: suraskite ir pataisykite, kol ji nebus išnaudojama.
Išsamesnės „Sonar“ SAST funkcijos yra prieinamos be papildomų mokesčių komerciniuose „SonarQube“ leidimuose (savarankiškai veikiantys) ir SonarCloud (pagrįsti debesimis), pramonėje pirmaujantys statinės analizės kodo peržiūros įrankiai, kurie nuolat tikrina ir analizuoja kodo bazę, naudodami kokybės patikras, kad nustatytų, ar kodas atitinka standartus. defiskirta plėtrai ir gamybai. Deeper SAST šiuo metu palaiko Java, C# ir TypeScript programavimo kalbas ir apima tūkstančius svarbiausių ir dažniausiai naudojamų atvirojo kodo bibliotekų, įskaitant jų vėlesnes (pereinamąsias) priklausomybes.
Sonar įgalina kūrimo komandas rašyti švarų kodą, suteikdamas joms tinkamus įrankius ir geriausios praktikos pavyzdžius, todėl jos gali skirti mažiau laiko trikčių šalinimui ir daugiau laiko verslo bei pristatymo tikslams pasiekti. Sonar sprendimo derinimas su metodika Švarus kaip kodai įmonė (nustatanti naujo, pridėto ar pakeisto kodo švaraus standartus) ir jos kodo mokymo vadovas, pavadintas „Mokykitės kaip koduodami“, kūrėjai gali greičiau išspręsti problemas ir pristatyti, tobulinti kodą ir gali paskatinti profesinį augimą ir komandos išlaikymą. Šiandien „Sonar“ naudoja daugiau nei septyni milijonai kūrėjų.
„Sonar“ taip pat aktyviai bendradarbiauja su savo ekosistemomis ir klientų bendruomenėmis, taip pat bendradarbiauja su keliais universitetais saugumo tyrimų projektams, atvirojo kodo programinei įrangai ir pradedančiųjų bendruomenėms. Be to, „Sonar“ turi specialią saugos tyrėjų komandą, kuri randa ir atsakingai atskleidžia atvirojo kodo programinės įrangos pažeidžiamumus, kuriuos galima išnaudoti nulinės dienos pažeidžiamumui; Šios išvados naudojamos kaip įkvėpimas naujoms saugumo taisyklėms ir aptikimams, padedantiems rasti pažeidžiamumą.
Sužinokite daugiau apie mūsų giliausias SAST naujoves ir „Sonar“ sprendimą („SonarQube“, „SonarCloud“, „SonarLint“). Susipažinkite su sonaro ekspertais Black Hat USA stende Nr. 2760, rugpjūčio 8-10 d.
Sonaras leidžia kūrėjams ir organizacijoms sistemingai pasiekti švaraus kodo būseną, kad visas kodas būtų tinkamas kurti ir gaminti. Taikydamos „Sonar Clean as You Code“ metodiką, organizacijos sumažina riziką, sumažina technines skolas ir nuspėjamai bei tvariai gauna daugiau naudos iš savo programinės įrangos.
Atvirojo kodo ir komercinis Sonar sprendimas – SonarLint, SonarCloud ir SonarQube – palaiko daugiau nei 30 programavimo kalbų, sistemų ir infrastruktūros technologijų. Sonar, kuriuo daugiau nei 400.000 XNUMX organizacijų visame pasaulyje patiki išvalyti daugiau nei pusę trilijono kodo eilučių, yra neatsiejama geresnės programinės įrangos tiekimo dalis. .
BlogInnovazione.it
„Google DeepMind“ pristato patobulintą dirbtinio intelekto modelio versiją. Naujasis patobulintas modelis suteikia ne tik…
Elegantiška sintaksė ir galingomis funkcijomis garsėjantis „Laravel“ taip pat suteikia tvirtą pagrindą modulinei architektūrai. Ten…
„Cisco“ ir „Splunk“ padeda klientams paspartinti jų kelionę į ateities saugos operacijų centrą (SOC) naudodami…
„Ransomware“ dominuoja naujienose pastaruosius dvejus metus. Daugelis žmonių puikiai žino, kad išpuoliai…
Katanijos poliklinikoje buvo atlikta oftalmoplastikos operacija naudojant „Apple Vision Pro“ reklaminę peržiūrą…
Lavindami smulkiosios motorikos įgūdžius dažydami, vaikai paruošiami sudėtingesniems įgūdžiams, pavyzdžiui, rašymui. Norėdami nuspalvinti…
Karinio jūrų laivyno sektorius yra tikra pasaulinė ekonominė galia, kuri pasiekė 150 mlrd.
Praėjusį pirmadienį „Financial Times“ paskelbė apie susitarimą su „OpenAI“. FT licencijuoja savo pasaulinio lygio žurnalistiką…
