Nová pokročilá detekce, nazvaná 'deeper SAST', řeší problémy, které tradiční nástroje SAST nesledují, protože nesledují tok v kódu knihovny. Tradiční dodavatelé SAST analyzují kód uživatelské aplikace. Tyto nástroje neanalyzují kombinovaný kód a neoznačují knihovny jednoduchým způsobem a ignorují kontext a použití v rámci knihovny. Výsledkem je, že funkce knihoven jsou považovány za černé skříňky a organizace tak zůstávají v nevědomosti, zda jsou v daném kontextu skutečně bezpečné či nikoli. Navíc tyto nástroje obvykle podporují pouze několik populárních frameworků, které často vyžadují počáteční nastavení k instalaci. To vše způsobuje, že bezpečnostní problémy vzniklé jedinečným používáním open source knihoven třetích stran zůstávají neodhaleny.
„Kód je kód, ať už je napsán vývojářem ve vašem týmu, nebo je součástí knihovny, která řeší konkrétní problém. Tyto dva různé přístupy mi vždy vadily a jsem nadšený, že jsme nyní schopni analyzovat všechny kódy stejným způsobem a vyřešit to, co bylo dříve považováno za nemožný problém,“ řekl Olivier Gaudin, generální ředitel a spoluzakladatel Sonar. "Díky hlubšímu pokroku SAST, který bylo dosaženo v našem řešení Clean Code, mohou organizace tyto zranitelnosti objevit a rychle je opravit při vývoji kódu."
Sonar překlenuje tradiční mezeru v SAST prostřednictvím své granulární analýzy interakcí uživatelského zdrojového kódu s externími závislostmi, to vše bez potřeby jakékoli speciální konfigurace nebo přírůstkových nákladů. Tato hlubší inovace SAST podporuje poslání společnosti Sonar vybavit organizace nástroji, které potřebují k dosažení stavu čistý kód : konzistentní, záměrný, přizpůsobivý a odpovědný kód. Když kód dodrží tyto charakteristiky, software se stane spolehlivým, spravovatelným a bezpečným.
„Odhaduje se, že více než 90 % aplikací využívá knihovny třetích stran a interaguje s kódem v nich, ale většina nástrojů SAST vývojářům neříká, které závislosti činí jejich kód zranitelným. Zabezpečení je kritické a čím více problémů najdete a opravíte dříve, než mohou způsobit škodu, tím lépe na tom bude vaše podnikání,“ řekl Rik Turner, hlavní analytik zabývající se kybernetickou bezpečností ve společnosti Omdia. "To je podstata vlny proaktivního zabezpečení, kterou vidíme v IT průmyslu: najděte ji a opravte ji dříve, než bude zneužita."
Hlubší funkčnost SAST Sonar je k dispozici bez dalších nákladů v rámci komerčních edic SonarQube (s vlastním tempem) a SonarCloud (cloud-based), špičkové nástroje pro statickou analýzu kódu pro kontrolu kódu, které nepřetržitě kontrolují a analyzují kódovou základnu pomocí kontrol kvality, aby zjistili, zda kód splňuje standardy defiurčeno pro vývoj a výrobu. Deeper SAST v současné době podporuje programovací jazyky Java, C# a TypeScript a pokrývá tisíce nejdůležitějších a běžně používaných knihoven s otevřeným zdrojovým kódem, včetně jejich následných (přechodných) závislostí.
Sonar umožňuje vývojovým týmům psát čistý kód tím, že jim poskytuje správné nástroje a osvědčené postupy, takže mohou trávit méně času řešením problémů a více času dosahováním obchodních a dodacích cílů. Kombinace řešení Sonar s metodikou Čistěte, jak kódujete (stanovení standardů pro udržování nového, přidaného nebo změněného kódu v čistotě) a jeho průvodce vzděláváním v oblasti kódu s názvem „Learn as You Code“, mají vývojáři rychlejší řešení problémů a dodávání, zlepšování kódu a mohou podporovat profesní růst a udržení týmu. Sonar dnes používá více než sedm milionů vývojářů.
Sonar také aktivně spolupracuje se svými ekosystémy a komunitami zákazníků, stejně jako partnerství s několika univerzitami pro projekty bezpečnostního výzkumu, open source software a začínající komunity. Kromě toho má Sonar specializovaný tým bezpečnostních výzkumníků, kteří nacházejí a zodpovědně odhalují zneužitelná zero-day zranitelnosti v open source softwaru; tato zjištění se používají jako inspirace pro nová bezpečnostní pravidla a detekce, které pomohou najít zranitelná místa.
Zjistěte více o naší nejhlubší inovaci SAST a řešení Sonar (SonarQube, SonarCloud, SonarLint). Seznamte se s odborníky na Sonar v Black Hat USA, stánek č. 2760, 8.-10. srpna.
Sonar umožňuje vývojářům a organizacím systematicky dosahovat stavu čistého kódu, takže veškerý kód je vhodný pro vývoj a produkci. Aplikací metodologie Sonar Clean as You Code organizace minimalizují rizika, snižují technický dluh a získávají větší hodnotu ze svého softwaru předvídatelným a udržitelným způsobem.
Open source a komerční řešení Sonar – SonarLint, SonarCloud a SonarQube – podporuje více než 30 programovacích jazyků, rámců a infrastrukturních technologií. Sonar, kterému důvěřuje více než 400.000 XNUMX organizací po celém světě, že dokáže vyčistit více než půl bilionu řádků kódu, je nedílnou součástí poskytování lepšího softwaru. .
BlogInnovazione.it
Google DeepMind představuje vylepšenou verzi svého modelu umělé inteligence. Nový vylepšený model poskytuje nejen…
Laravel, známý svou elegantní syntaxí a výkonnými funkcemi, také poskytuje pevný základ pro modulární architekturu. Tam…
Cisco a Splunk pomáhají zákazníkům urychlit jejich cestu do Security Operations Center (SOC) budoucnosti s…
Ransomware dominuje novinkám poslední dva roky. Většina lidí si je dobře vědoma toho, že útoky...
Na poliklinice v Catanii byla provedena oftalmoplastika pomocí komerčního prohlížeče Apple Vision Pro…
Rozvíjení jemné motoriky prostřednictvím vybarvování připravuje děti na složitější dovednosti, jako je psaní. Barvit…
Námořní sektor je skutečnou globální ekonomickou velmocí, která se dostala na 150miliardový trh...
Minulé pondělí Financial Times oznámily dohodu s OpenAI. FT licencuje svou prvotřídní žurnalistiku…
