這種新的高級檢測被稱為“更深的 SAST”,它解決了傳統 SAST 工具無法遵循的問題,因為它們不遵循庫代碼內的流程。 傳統 SAST 供應商分析用戶應用程序代碼。 這些工具不會以簡單的方式解析組合的代碼和標記庫,從而忽略庫內的上下文和用法。 結果是,庫功能被視為黑匣子,使組織對它們對於給定上下文是否真正安全一無所知。 此外,這些工具通常僅支持少數流行框架,通常需要初始設置才能安裝。 所有這些都會導致因獨特使用第三方開源庫而產生的安全問題未被發現。
“代碼就是代碼,無論它是由團隊中的開發人員編寫的,還是解決特定問題的庫的一部分。 這兩種不同的方法一直困擾著我,我很高興我們現在能夠以相同的方式分析所有代碼,解決過去被認為是不可能的問題。”Sonar 首席執行官兼聯合創始人 Olivier Gaudin 說道。 “由於我們的 Clean Code 解決方案在 SAST 方面取得了更深入的進展,組織可以發現這些漏洞並在代碼開發時快速修復它們。”
Sonar 通過對用戶源代碼與外部依賴項交互的精細分析來彌補傳統 SAST 的差距,所有這些都不需要任何特殊配置或增量成本。 這種更深入的 SAST 創新進一步推動了 Sonar 的使命,即為組織提供實現以下狀態所需的工具: 乾淨的代碼 :一致、有意、適應性強且負責任的代碼。 當代碼遵循這些特徵時,軟件就會變得可靠、可管理且安全。
“據估計,超過 90% 的應用程序利用第三方庫並與其中的代碼進行交互,但大多數 SAST 工具不會告訴開發人員哪些依賴項會使他們的代碼容易受到攻擊。 安全是至關重要的任務,在問題造成損害之前發現並解決的問題越多,您的業務就會越好。”Omdia 網絡安全高級首席分析師 Rik Turner 表示。 “這就是我們在 IT 行業看到的主動安全浪潮的本質:在它被利用之前找到它並修復它。”
Sonar 更深入的 SAST 功能可在 SonarQube 商業版(自訂進度)和 聲納雲 (基於雲的)行業領先的靜態分析代碼審查工具,通過質量檢查持續檢查和分析代碼庫,以確定代碼是否符合標準 defi已完成開發和生產。 Deeper SAST 目前支持 Java、C# 和 TypeScript 編程語言,並涵蓋數千個最重要和最常用的開源庫,包括它們的連續(傳遞)依賴項。
Sonar 通過為開發團隊提供正確的工具和最佳實踐,使他們能夠編寫乾淨的代碼,這樣他們就可以花更少的時間進行故障排除,並將更多的時間用於實現業務和交付目標。 將聲納解決方案與方法論相結合 編碼時保持清潔 公司(制定保持新的、添加的或更改的代碼清潔的標準)及其名為“邊編程邊學習”的代碼教育指南,開發人員可以更快地解決問題和交付、代碼改進,並且可以促進專業成長和團隊保留。 如今,有超過 XNUMX 萬開發人員使用 Sonar。
Sonar 還積極參與其生態系統和客戶社區,並與多所大學就安全研究項目、開源軟件和初創社區建立合作夥伴關係。 此外,Sonar 擁有一支專門的安全研究人員團隊,負責發現並負責任地披露開源軟件中可利用的零日漏洞; 這些發現被用作新安全規則和檢測的靈感,以幫助發現漏洞。
詳細了解我們最深入的 SAST 創新和聲納解決方案(SonarQube、SonarCloud、SonarLint)。與 Black Hat USA 的聲納專家會面,展位號: 2760,8 月 10 日至 XNUMX 日。
Sonar 使開發人員和組織能夠系統地實現“清潔代碼”狀態,以便所有代碼都適合開發和生產。 通過應用 Sonar Clean as You Code 方法,組織可以最大限度地降低風險、減少技術債務,並以可預測和可持續的方式從其軟件中獲得更多價值。
開源和商業 Sonar 解決方案 – SonarLint、SonarCloud 和 SonarQube – 支援 30 多種程式語言、框架和基礎設施技術。 Sonar 受到全球超過 400.000 萬個組織的信賴,可清理超過 XNUMX 億行程式碼,是交付更好軟體不可或缺的一部分 .
BlogInnovazione.it
