Nowa, zaawansowana metoda wykrywania, zwana „głębszym SAST”, rozwiązuje problemy, których nie rozwiązują tradycyjne narzędzia SAST, ponieważ nie śledzą przepływu w kodzie biblioteki. Tradycyjni dostawcy SAST analizują kod aplikacji użytkownika. Narzędzia te nie analizują połączonego kodu i nie zaznaczają bibliotek w nieskomplikowany sposób, ignorując kontekst i użycie w bibliotece. W rezultacie funkcje bibliotek uznawane są za czarne skrzynki, pozostawiając organizacje w niewiedzy co do tego, czy są one naprawdę bezpieczne w danym kontekście, czy nie. Ponadto narzędzia te zazwyczaj obsługują tylko kilka popularnych frameworków, często wymagając wstępnej konfiguracji przed instalacją. Wszystko to powoduje, że problemy bezpieczeństwa powstałe w wyniku unikalnego wykorzystania bibliotek open source innych firm pozostają niewykryte.
„Kod to kod, niezależnie od tego, czy jest napisany przez programistę w Twoim zespole, czy też stanowi część biblioteki rozwiązującej konkretny problem. Zawsze niepokoiły mnie te dwa różne podejścia i jestem podekscytowany, że teraz możemy analizować wszystkie kody w ten sam sposób, rozwiązując problem, który wcześniej uważano za niemożliwy do rozwiązania” – powiedział Olivier Gaudin, dyrektor generalny i współzałożyciel firmy Sonar. „Dzięki głębszym postępom SAST w naszym rozwiązaniu Clean Code organizacje mogą odkryć te luki i szybko je naprawić w miarę opracowywania kodu”.
Sonar wypełnia tradycyjną lukę w SAST poprzez szczegółową analizę interakcji kodu źródłowego użytkownika z zależnościami zewnętrznymi, a wszystko to bez potrzeby stosowania jakiejkolwiek specjalnej konfiguracji lub dodatkowych kosztów. Ta głębsza innowacja SAST wspiera misję Sonar polegającą na wyposażeniu organizacji w narzędzia potrzebne do osiągnięcia stanu czysty kod : spójny, zamierzony, elastyczny i odpowiedzialny kod. Kiedy kod spełnia te cechy, oprogramowanie staje się niezawodne, łatwe w zarządzaniu i bezpieczne.
„Szacuje się, że ponad 90% aplikacji korzysta z bibliotek innych firm i wchodzi w interakcję z zawartym w nich kodem, mimo to większość narzędzi SAST nie informuje programistów, które zależności sprawiają, że ich kod jest podatny na ataki. Bezpieczeństwo ma kluczowe znaczenie dla misji, a im więcej problemów znajdziesz i naprawisz, zanim spowodują szkody, tym lepsza będzie Twoja firma” – powiedział Rik Turner, starszy główny analityk zajmujący się bezpieczeństwem cybernetycznym w Omdia. „Na tym właśnie polega fala proaktywnego bezpieczeństwa, jaką obserwujemy w branży IT: znajdź go i napraw, zanim zostanie wykorzystany”.
La funzionalità SAST più profonda di Sonar è disponibile senza costi aggiuntivi all’interno delle edizioni commerciali di SonarQube (autogestito) e SonarChmura (oparte na chmurze), wiodące w branży narzędzia do przeglądu kodu poprzez analizę statyczną, które stale sprawdzają i analizują bazę kodu za pomocą kontroli jakości w celu ustalenia, czy kod spełnia standardy defiprzeznaczone do rozwoju i produkcji. Deeper SAST obsługuje obecnie języki programowania Java, C# i TypeScript i obejmuje tysiące najważniejszych i najczęściej używanych bibliotek open source, w tym ich późniejsze (przechodnie) zależności.
Sonar umożliwia zespołom programistycznym pisanie czystego kodu, zapewniając im odpowiednie narzędzia i najlepsze praktyki, dzięki czemu mogą spędzać mniej czasu na rozwiązywaniu problemów, a więcej na osiąganiu celów biznesowych i dostaw. Łącząc rozwiązanie Sonar z metodologią Czystość podczas kodowania firmy (ustanawiającej standardy utrzymywania czystości nowego, dodanego lub zmienionego kodu) i jej przewodnika edukacyjnego o kodzie o nazwie „Ucz się, jak kodujesz”, programiści mogą szybciej rozwiązywać problemy i dostarczać je, ulepszać kod, a także mogą wspierać rozwój zawodowy i utrzymanie zespołu. Obecnie ponad siedem milionów programistów korzysta z Sonaru.
Sonar aktywnie współpracuje także ze swoim ekosystemem i społecznościami klientów, a także współpracuje z kilkoma uniwersytetami w zakresie projektów badawczych w zakresie bezpieczeństwa, oprogramowania open source i społeczności start-upów. Ponadto firma Sonar dysponuje wyspecjalizowanym zespołem badaczy bezpieczeństwa, którzy znajdują i odpowiedzialnie ujawniają możliwe do wykorzystania luki dnia zerowego w oprogramowaniu typu open source; odkrycia te służą jako inspiracja dla nowych reguł bezpieczeństwa i sposobów wykrywania, które pomagają znaleźć luki w zabezpieczeniach.
Scopri di più sulla nostra più profonda innovazione SAST e sulla soluzione Sonar (SonarQube, SonarCloud, SonarLint). Incontra gli esperti di Sonar al Black Hat USA, stand n. 2760 , 8-10 agosto.
Sonar umożliwia programistom i organizacjom systematyczne osiąganie stanu czystego kodu, dzięki czemu cały kod nadaje się do programowania i produkcji. Stosując metodologię Sonar Clean as You Code, organizacje minimalizują ryzyko, zmniejszają dług techniczny i uzyskują większą wartość ze swojego oprogramowania w przewidywalny i zrównoważony sposób.
La soluzione Sonar open source e commerciale – SonarLint , SonarCloud e SonarQube – supporta oltre 30 linguaggi di programmazione, framework e tecnologie di infrastruttura. Scelto da oltre 400.000 organizzazioni in tutto il mondo per ripulire più di mezzo trilione di righe di codice, Sonar è parte integrante della fornitura di software migliore .
BlogInnovazione.it
Sektor morski to prawdziwa światowa potęga gospodarcza, która osiągnęła 150-miliardowy rynek...
W ubiegły poniedziałek Financial Times ogłosił zawarcie umowy z OpenAI. FT udziela licencji na swoje światowej klasy dziennikarstwo…
Miliony ludzi płacą za usługi przesyłania strumieniowego, płacąc miesięczne opłaty abonamentowe. Powszechnie panuje opinia, że…
Coveware by Veeam będzie w dalszym ciągu świadczyć usługi reagowania na incydenty związane z wyłudzeniami cybernetycznymi. Coveware będzie oferować funkcje kryminalistyczne i naprawcze…
