Новая магутная магчымасць глыбокай аналітыкі Sonar выяўляе праблемы бяспекі на ўзроўні схаванага кода

Гэта новаўвядзенне раскрывае ўразлівасці, створаныя ўзаемадзеяннем паміж зыходным кодам і староннімі бібліятэкамі

Sonar, вядучы пастаўшчык рашэнняў Clean Code, сёння абвясціў аб значных дасягненнях у сваёй прапанове Clean Code.

Цяпер распрацоўшчыкі могуць аўтаматычна выяўляць і выпраўляць праблемы бяспекі, якія ўзнікаюць у выніку ўзаемадзеяння паміж зыходным кодам карыстальніка і староннімі бібліятэкамі з адкрытым зыходным кодам.

Новае ўдасканаленае выяўленне, якое называецца "больш глыбокім SAST", вырашае праблемы, якія традыцыйныя інструменты SAST не вырашаюць, таму што яны не ідуць за патокам у кодзе бібліятэкі. Традыцыйныя пастаўшчыкі SAST аналізуюць код карыстальніцкага прыкладання. Гэтыя інструменты не аналізуюць аб'яднаны код і не пазначаюць бібліятэкі нескладаным спосабам, ігнаруючы кантэкст і выкарыстанне ў бібліятэцы. У выніку функцыі бібліятэкі лічацца чорнымі скрынямі, пакідаючы арганізацыі ў недасведчанасці адносна таго, сапраўды яны бяспечныя для дадзенага кантэксту ці не. Акрамя таго, гэтыя інструменты звычайна падтрымліваюць толькі нешматлікія папулярныя фрэймворкі, для ўстаноўкі якіх часта патрабуецца першапачатковая налада. Усё гэта прыводзіць да таго, што праблемы бяспекі, створаныя унікальным выкарыстаннем старонніх бібліятэк з адкрытым зыходным кодам, застаюцца незаўважанымі.

Аліўе Гадэн, генеральны дырэктар і сузаснавальнік Sonar

«Код - гэта код, незалежна ад таго, напісаны ён распрацоўшчыкам з вашай каманды або часткай бібліятэкі, якая вырашае пэўную праблему. Два розныя падыходы заўсёды мяне турбавалі, і я ў захапленні ад таго, што цяпер мы можам аналізаваць усе коды аднолькава, вырашаючы тое, што раней лічылася немагчымай праблемай», — сказаў Аліўе Гадэн, генеральны дырэктар і сузаснавальнік Sonar. «Дзякуючы больш глыбокаму прагрэсу SAST у нашым рашэнні Clean Code, арганізацыі могуць выявіць гэтыя ўразлівасці і хутка выправіць іх па меры распрацоўкі кода».

Sonar ліквідуе традыцыйны разрыў у SAST праз дэталёвы аналіз узаемадзеяння зыходнага кода карыстальніка са знешнімі залежнасцямі, і ўсё гэта без неабходнасці спецыяльнай канфігурацыі або дадатковых выдаткаў. Гэтая больш глыбокая інавацыя SAST спрыяе выкананню місіі Sonar па аснашчэнні арганізацый інструментамі, неабходнымі для дасягнення стану чысты код : паслядоўны, наўмысны, адаптыўны і адказны код. Калі код адпавядае гэтым характарыстыкам, праграмнае забеспячэнне становіцца надзейным, кіраваным і бяспечным.

«Паводле ацэнак, больш за 90% прыкладанняў выкарыстоўваюць бібліятэкі іншых вытворцаў і ўзаемадзейнічаюць з кодам у іх, але большасць інструментаў SAST не паведамляюць распрацоўшчыкам, якія залежнасці робяць іх код уразлівым. Бяспека мае вырашальнае значэнне, і чым больш праблем вы знойдзеце і вырашыце, перш чым яны могуць нанесці шкоду, тым лепш будзе вашаму бізнесу», — сказаў Рык Тэрнер, старэйшы аналітык па кібербяспецы Omdia. «Гэта сутнасць хвалі праактыўнай бяспекі, якую мы назіраем у ІТ-індустрыі: знайдзіце гэта і выпраўце, перш чым яго выкарыстаюць».

SAST рэхалота

Больш глыбокая функцыянальнасць SAST Sonar даступная без дадатковай аплаты ў камерцыйных версіях SonarQube (самастойны) і SonarCloud (воблачныя), вядучыя ў галіны інструменты праверкі кода статычнага аналізу, якія пастаянна правяраюць і аналізуюць базу кода з дапамогай праверкі якасці, каб вызначыць, ці адпавядае код стандартам defiскончаны для распрацоўкі і вытворчасці. У цяперашні час Deeper SAST падтрымлівае мовы праграмавання Java, C# і TypeScript і ахоплівае тысячы найбольш важных і часта выкарыстоўваюцца бібліятэк з адкрытым зыходным кодам, уключаючы іх наступныя (пераходныя) залежнасці.

Дасягненне чыстага стану кода

Sonar дае камандам распрацоўшчыкаў магчымасць пісаць чысты код, забяспечваючы іх правільнымі інструментамі і лепшымі практыкамі, каб яны маглі марнаваць менш часу на ліквідацыю непаладак і больш часу на дасягненне бізнес-мэтаў і мэт пастаўкі. Спалучэнне рашэння Sonar з метадалогіяй Чысты, як вы код кампанія (усталёўвае стандарты для захавання новага, дададзенага або змененага кода ў чысціні) і яе кіраўніцтва па навучанні коду пад назвай «Вучыцеся падчас кодавання», распрацоўшчыкі маюць больш хуткае вырашэнне праблем і дастаўку, паляпшэнне кода і могуць спрыяць прафесійнаму росту і ўтрыманню каманды. Сёння больш за сем мільёнаў распрацоўшчыкаў выкарыстоўваюць Sonar.

Sonar таксама актыўна ўзаемадзейнічае са сваёй экасістэмай і суполкамі кліентаў, а таксама з партнёрствам з некалькімі ўніверсітэтамі для даследчых праектаў у галіне бяспекі, праграмнага забеспячэння з адкрытым зыходным кодам і суполак стартапаў. Акрамя таго, у Sonar ёсць спецыяльная група даследчыкаў бяспекі, якія знаходзяць і адказна раскрываюць уразлівасці нулявога дня ў праграмным забеспячэнні з адкрытым зыходным кодам, якія можна выкарыстоўваць; гэтыя высновы выкарыстоўваюцца ў якасці натхнення для новых правілаў бяспекі і выяўлення, каб дапамагчы знайсці слабыя месцы.

Даведайся больш аб нашай найглыбейшай інавацыі SAST і рашэнні Sonar (SonarQube, SonarCloud, SonarLint). Пазнаёмцеся з экспертамі Sonar у Black Hat USA, стэнд №. 2760, 8-10 жніўня.

Пра рэхалоты

Sonar дазваляе распрацоўшчыкам і арганізацыям сістэматычна дасягаць стану чыстага кода, каб увесь код быў прыдатны для распрацоўкі і вытворчасці. Прымяняючы метадалогію Sonar Clean as You Code, арганізацыі зводзяць да мінімуму рызыкі, памяншаюць тэхнічную запазычанасць і атрымліваюць большую карысць ад свайго праграмнага забеспячэння прадказальным і ўстойлівым спосабам.

Камерцыйнае рашэнне Sonar з адкрытым зыходным кодам - ​​SonarLint, SonarCloud і SonarQube - падтрымлівае больш за 30 моў праграмавання, фрэймворкаў і інфраструктурных тэхналогій. Больш за 400.000 XNUMX арганізацый па ўсім свеце давяраюць ачыстцы больш чым паловы трыльёна радкоў кода, Sonar з'яўляецца неад'емнай часткай пастаўкі лепшага праграмнага забеспячэння .

BlogInnovazione.it