Chamada de 'SAST mais profundo', a nova detecção avançada resolve problemas que as ferramentas SAST tradicionais não seguem porque não seguem o fluxo dentro do código da biblioteca. Os fornecedores SAST tradicionais analisam o código do aplicativo do usuário. Essas ferramentas não analisam o código combinado e marcam as bibliotecas de maneira não sofisticada, ignorando o contexto e o uso dentro da biblioteca. O resultado é que os recursos da biblioteca são considerados caixas pretas, deixando as organizações sem saber se são realmente seguras para um determinado contexto ou não. Além disso, essas ferramentas geralmente suportam apenas algumas estruturas populares, geralmente exigindo configuração inicial para instalação. Tudo isso faz com que problemas de segurança criados pelo uso exclusivo de bibliotecas de código aberto de terceiros não sejam detectados.
“Código é código, seja escrito por um desenvolvedor de sua equipe ou parte de uma biblioteca que resolve um problema específico. As duas abordagens diferentes sempre me incomodaram e estou emocionado por agora podermos analisar todos os códigos da mesma maneira, resolvendo o que costumava ser considerado um problema impossível”, disse Olivier Gaudin, CEO e cofundador da Sonar. “Graças aos avanços SAST mais profundos feitos em nossa solução Clean Code, as organizações podem descobrir essas vulnerabilidades e corrigi-las rapidamente à medida que o código é desenvolvido.”
O Sonar preenche a lacuna tradicional do SAST por meio de sua análise granular das interações do código-fonte do usuário com dependências externas, tudo sem a necessidade de qualquer configuração especial ou custos incrementais. Essa inovação SAST mais profunda promove a missão da Sonar de equipar as organizações com as ferramentas necessárias para atingir um estado de código limpo : código consistente, intencional, adaptável e responsável. Quando o código adere a essas características, o software torna-se confiável, gerenciável e seguro.
“Estima-se que mais de 90% dos aplicativos usam bibliotecas de terceiros e interagem com o código dentro delas, mas a maioria das ferramentas SAST não informa aos desenvolvedores quais dependências tornam seu código vulnerável. A segurança é de missão crítica, e quanto mais problemas você encontrar e corrigir antes que possam causar danos, melhor será para o seu negócio”, disse Rik Turner, principal analista sênior de segurança cibernética da Omdia. "Essa é a essência da onda de segurança proativa que estamos vendo na indústria de TI: encontre e corrija antes que seja explorada."
A funcionalidade SAST mais profunda do Sonar está disponível sem custo adicional nas edições comerciais do SonarQube (individualizado) e SonarCloud (baseado em nuvem), ferramentas de revisão de código de análise estática líderes do setor que inspecionam e analisam continuamente a base de código usando verificações de qualidade para determinar se o código atende aos padrões definished para desenvolvimento e produção. Atualmente, o Deeper SAST oferece suporte às linguagens de programação Java, C# e TypeScript e abrange milhares das bibliotecas de código aberto mais importantes e comumente usadas, incluindo suas dependências (transitivas) subsequentes.
O Sonar capacita as equipes de desenvolvimento a escrever códigos limpos, fornecendo-lhes as ferramentas e práticas recomendadas certas, para que possam gastar menos tempo solucionando problemas e mais tempo alcançando metas de negócios e entrega. Ao combinar a solução Sonar com a metodologia Limpe como você codifica company (definindo padrões para manter códigos novos, adicionados ou alterados limpos) e seu guia de treinamento de código chamado “Learn as You Code”, os desenvolvedores têm resolução e entrega de problemas mais rápidas, melhoria de código e podem promover o crescimento profissional e a retenção da equipe. Hoje, existem mais de sete milhões de desenvolvedores usando o Sonar.
A Sonar também se envolve ativamente com seu ecossistema e comunidades de clientes, bem como parcerias com várias universidades para projetos de pesquisa de segurança, software de código aberto e comunidades iniciantes. Além disso, a Sonar tem uma equipe dedicada de pesquisadores de segurança que encontram e divulgam com responsabilidade vulnerabilidades de dia zero exploráveis em software de código aberto; essas descobertas são usadas como inspiração para novas regras de segurança e detecções para ajudar a encontrar vulnerabilidades.
Saiba mais sobre nossa mais profunda inovação SAST e solução Sonar (SonarQube, SonarCloud, SonarLint). Conheça os especialistas em Sonar na Black Hat USA, estande no. 2760, 8 a 10 de agosto.
O Sonar permite que desenvolvedores e organizações alcancem sistematicamente um estado de Código Limpo para que todo o código seja adequado para desenvolvimento e produção. Ao aplicar a metodologia Sonar Clean as You Code, as organizações minimizam os riscos, reduzem a dívida técnica e obtêm mais valor de seu software de maneira previsível e sustentável.
A solução Sonar comercial e de código aberto – SonarLint, SonarCloud e SonarQube – suporta mais de 30 linguagens de programação, estruturas e tecnologias de infraestrutura. Com a confiança de mais de 400.000 organizações em todo o mundo para limpar mais de meio trilhão de linhas de código, o Sonar é parte integrante do fornecimento de software melhor .
BlogInnovazione.it
O setor naval é uma verdadeira potência económica global, que navegou para um mercado de 150 mil milhões...
Na segunda-feira passada, o Financial Times anunciou um acordo com a OpenAI. O FT licencia seu jornalismo de classe mundial…
Milhões de pessoas pagam por serviços de streaming, pagando assinaturas mensais. É opinião comum que você…
A Coveware by Veeam continuará a fornecer serviços de resposta a incidentes de extorsão cibernética. A Coveware oferecerá recursos forenses e de remediação…