1. 开发人员拥有代码安全性
开发人员可以通过静态应用程序安全性测试(SAST)来控制代码安全性,以使用更多语言,更多规则,更好的检测并改善工作流程。
无与伦比的SAST精度-现在包括JavaScript等
安全漏洞检测已随着新语言,新规则和改进的检测引擎而大大扩展,从而在Java,C#,PHP,Python,JavaScript,TypeScript,C和C 的安全分析中带来了无与伦比的精度和性能。除了极大地扩展了分析的广度和深度之外,我们还扩大了开发人员对这些发现的访问权限。在IDE中,SonarLint,SonarQube本身以及商业版的PR装饰中都提出了问题。
改进之处包括:
- 为Python,JavaScript,TypeScript,C和C 添加了SAST分析
- OWASP对Java和C#的十大全面介绍,对其他语言的重要介绍
- 用于C和C 的POSIX函数中的缓冲区溢出检测
商业版本添加了污点分析规则以查找:注入缺陷,损坏的访问控制,XSS和不安全的反序列化,并能够以连接模式将这些污点分析问题同步到SonarLint中。
安全热点审查使开发人员可以编写更安全的代码
安全热点通过将注意力集中在对安全敏感的代码段上,并为开发人员提供诊断潜在影响的工具,来帮助开发人员编写更安全的代码。我们已经扩大了安全热点语言的范围,以包括TypeScript,C和C 。现在,您具有用于对安全性热点进行分类的专用界面,只需单击即可通过SonarLint在IDE中打开它们。
报告和配置提高了清晰度和准确性(EE/DCE)
安全报告包括CWE Top 25 2019和CWE Top 25 2020,以及PDF格式的顶级报告下载。而且,如果您使用本地框架,则污点分析配置将为您提供一个UI,以设置您本地的源,接收器和消毒剂,以提高整体精度,并最终提高代码安全性。
2. 在云端?本地?您的平台已覆盖!
无论您的代码是驻留在云中还是本地,SaaS或自我管理中,代码存储库平台集成都可以帮助您更快地编写更好的代码。从最初的项目导入到因失败的质量门而导致的管道失败,我们几乎涵盖了所有人。
简化项目设置
简化的项目设置为您提供了一个易于使用的界面,可以在任何代码存储库平台上导入项目:GitHub,GitLab,Azure DevOps和Bitbucket;本地和云中。
导入项目后,教程将引导您完成在GitHub Actions,Jenkins,GitLab CI或Azure DevOps Pipelines中进行分析的设置;包含针对.NET,C,C 和Objective-C项目的特定于语言的教程。
现在,无论您使用哪个配置项,都可以使管道失败以进行失败的分析。
PR分析(EE/DCE)
Code Repository Platform集成并不会停止。我们支持对GitHub,Bitbucket,Azure DevOps和GitLab的请求修饰;本地和云中。企业版在monorepos中添加了PR装饰。
不只是装饰Developer Edition还为大多数工作流程带来了自动的分支和PR配置:Jenkins,GitHub Actions,Gitlab CI,Azure Pipelines和Bitbucket Pipelines。
3. 操作SonarQube比以往更容易
我们使SonarQube的运行比以往更轻松,更安全。SonarQube已按照美国国防部的标准进行了安全加固(即经过STIG加固),在Docker Hub和国防部的Iron Bank中每个版本都有一个Docker映像。加上用于Kubernetes支持的Helm图表,使SonarQube的部署比以往任何时候都更加容易。
通过支持热数据库备份,例行维护也变得更加容易。通过升级过程中的逐步可用性,升级比以往任何时候都更加容易。现在,即使在未完成索引编制之前,SonarQube仍可用于分析和有限的浏览。
4. 是时候让Python开发人员加入SonarQube
过去,Python的支持并不总是我们关注的重点,而LTS则一劳永逸地改变了这一点。我们竭尽所能为Python提供一流的静态代码分析,这使Python开发人员继续采用SonarQube变得轻而易举。
该LTS添加了深入的分析,以捕获开发人员期望的棘手的Bug和漏洞,并具有SonarQube标准的合理默认值,高性能和最小配置。为了在所有语言结构,框架和类型中正确跟踪问题,我们已经为该语言的3.9版提供了Python支持。对于刚从其他工具过渡过来的团队,可以轻松导入Pylint和Flake8报告,还可以编写自定义规则。
最重要的是,在商业版本中还支持污点分析规则,以检测污点分析漏洞,例如注入缺陷。
5. C 带来了开发人员想要的规则和性能
全面介绍了C 核心准则和广泛的C 17特定规则,我们使遵循现代最佳实践变得容易。而且,如果您的商店使用多个标准版本,则管理质量配置文件也将变得很容易:为您使用的所有版本启用规则,我们将根据项目编译到的标准版本来激活它们。此外,我们对分析性能进行了一些改进,并增加了对各种附加编译器的支持。
这是对以安全为中心的规则的显着扩展的补充,其中包括检测POSIX函数中的缓冲区溢出。
最后,Community Edition用户可以在新引入的CLion SonarLint以及VisualStudio的SonarLint中免费使用C 分析。
6. 编码时干净,最佳实践走在前列
作为我们帮助每个开发人员每天编写更好代码的持续使命的一部分,我们对业界经常忽略的元素表示了热爱。首先,您将找到一个重写的项目主页。新界面将新代码的质量和安全性放在首位和居中,可帮助您更好地专注于代码清洗。其次,我们在Java,PHP和C#中添加了规则,以帮助您正确编写测试。最后,我们使应用程序可用于所有商业版本,以便更多团队可以监视在一个聚合的综合项目中一起交付的项目的质量。
迄今为止最安全的LTS!
我们不仅关心代码的安全性,还关心整个SonarQube环境的安全性。这就是我们这样做的原因:
- 对SonarQube本身的构建以及我们的内部构建管道进行了额外的加固
- SonarQube中的库加载仅限于SonarSource提供的库
- 有限的插件只能通过API访问核心功能
- 向插件市场添加了其他控件
您还将找到简单但有效的新保护措施,例如强制SonarQube管理员更改默认管理员凭据。
关于我们
泽阳,DevOps领域实践者。专注于企业级DevOps运维开发技术实践分享,主要以新Linux运维技术、DevOps技术课程为主。丰富的一线实战经验,课程追求实用性获得多数学员认可。课程内容均来源于企业应用,在这里既学习技术又能获取热门技能,欢迎您的到来!(微信ID: devopsvip)
