SonarQube：针对开发人员的代码安全

安全分析

 

使用静态应用程序安全性测试（SAST）在代码审查中检测安全性问题

 

早期的安全反馈，授权开发人员

代码安全性不再是安全团队的领域。

除了单词（DevSecOps，SDLC等）之外，真正的机会还在于开发人员使用SonarQube检测漏洞和安全热点，解释并给出适当的后续步骤编写更安全的代码。

• 掌握所有权
• 集成开发环境整合
• Quality Gate
• 保持安全

掌握所有权

在代码审查期间获得安全反馈是你学习更多知识和掌握代码安全的机会。

 

 

 

 

 

 

 

 

集成开发环境整合

在SonarQube中查找漏洞和安全热点，并以SonarLint为指导在你的IDE中修复它们。

 

 

Quality Gate

在你的质量门中执行漏洞标准和安全热点审查，以确保你只合并安全代码。

 

 

 

 

 

保持安全

对问题及其影响的深入理解会导致更好的修复和更安全的应用。

 

 

 

 

 

 

 

明确的安全问题，明确的行动

在开发团队的带领下，以合理的模式解决安全问题

 

安全性

热点  代码审查

安全热点是对安全敏感的代码的使用。 他们可能还可以，但是必须经过人工检查才能确定。

当开发人员编写代码并与安全热点进行交互时，他们将学会评估安全风险，同时更多地了解安全编码做法。

可以用来：

 

散列数据对安全性敏感。

安全热点 

安全性

漏洞  代码更改/修复

安全漏洞需要立即采取行动。 SonarQube提供了详细的问题描述和代码亮点，以解释为什么您的代码存在风险。

只需按照指导进行操作，签入修复程序并保护您的应用程序安全即可。

可以用来：

 

使用密钥长度，以提供足够的熵来抵御暴力攻击。 对于RSA算法，它的长度至少应为2048位。

安全漏洞  阻断器

 

OWASP Top 10

OWASP Top 10代表了安全专家对网络应用最关键安全风险的广泛共识。SonarQube在许多语言中提供重要的OWASP Top 10覆盖，以帮助你保护你的系统、你的数据和你的用户。

 

开发者版本

通过污点分析提供最大的保护

不要让不被信任的用户输入损害你的代码安全

追击不良行为者

确保用户提供的数据在进入关键系统（数据库、文件系统、操作系统等）之前就被净化，有助于确保你的代码安全。污点分析在整个执行流程中跟踪不受信任的用户输入--不仅跨越方法，而且从文件到文件。

 

 

• Java
• PHP
• C#
• C
• C++
• Python
• JS/TS

 

重要语言的关键安全规则

获取与关键语言高度相关的规则，以帮助确保代码安全。

 

企业版

 

在企业级别跟踪安全合规性

对最复杂的项目进行全面的应用程序安全跟踪

 

OWASP / CWE安全报告

专用报告使您可以针对OWASP Top 10和CWE Top 25（2019和2020版本）跟踪代码安全性。 SonarSource报告可帮助安全专业人员将安全问题转化为开发人员可以理解的语言。

 

 

PDF下载

安全报告的PDF导出包括项目安全概述和最重要的安全报告。

 

使用专有框架？将它们输入SonarQube引擎

企业版使您可以声明用于捕获用户输入和/或保留输入的自定义框架。 然后，我们的注射缺陷检测引擎会跟踪未经消毒的用户输入。