查看Web应用程序中10个最关键的安全风险类别中的问题。
通过在开发过程的早期向开发人员提出与OWASP十大相关的问题,
SonarQube可帮助您保护系统,数据和用户。
开发人员主导的安全性的关键是通过提供准确的结果来保持开发人员的参与度。 我们有两个方面的方法。
代码审查
安全热点是对安全敏感的代码的使用。 他们可能还可以,但是必须经过人工检查才能确定。
当开发人员编写代码并与安全热点进行交互时,他们将学会评估安全风险,同时更多地了解安全编码做法。
开发者参与策略:如果每次运动都很明显,则不需要裁判。 同样,有一类安全问题-安全热点-需要人类的智慧来进行呼叫。 通过将安全热点与真实漏洞区分开来,我们设定了开发人员的期望,并保持了他们对分析的信心。
量身定制的“安全性热点审查”界面可帮助提醒开发人员,他们正在关注“紧急呼叫”情况,并指导他们做出明智的决定。
可用于:
代码更改/修复
安全漏洞需要立即采取行动。 SonarQube提供了详细的问题描述和代码亮点,以解释为什么您的代码存在风险。
只需按照指导进行操作,签入修复程序并保护您的应用程序安全即可。
开发者参与策略: 我们会积极监控误报并做出积极回应,并在下一个版本中对其进行修复。 当我们在您的代码上提出漏洞问题时,您肯定会知道有一些要解决的问题。
可用于:
应用安全始于代码;SonarQube帮助你拥有它。
SAST对拉动请求的分析有助于通过将安全问题转移到左边,并在你的过程中尽可能早地提出安全漏洞--当代码在头脑中是新鲜的,修复仍然是容易的。
问题可视化器是为清晰而设计的,所以开发人员很容易理解跨方法和从文件到文件的问题流。
应用中的指导帮助开发人员真正理解问题,以便他们能够制定最安全的修复方案。
应用程序安全性来自于在击中关键系统部件(数据库,文件系统,操作系统等)之前确保已对数据进行了清理。
污点分析-能够在从漏洞源到发生泄露的代码位置(“接收器”)的整个执行流程中跟踪不受信任的用户输入。
通过声明用于捕获用户输入和/或将其保留的自定义框架来配置污点分析。
专用报告根据OWASP Top 10和CWE Top 25标准跟踪项目安全性。
SonarSource安全报告通过将漏洞按开发人员理解的术语进行分类,从而促进了交流。
在项目或项目组合级别跟踪合规性,并从“安全性热点审查”中区分漏洞修复程序。
安全报告的PDF导出包括项目安全概述和最重要的安全报告。
