A nova e poderosa capacidade analítica profunda de Sonar detecta problemas de seguridade a nivel de código oculto

Esta innovación descobre vulnerabilidades creadas pola interacción entre o código fonte e as bibliotecas de terceiros

Sonar, un provedor líder de solucións Clean Code, anunciou hoxe avances significativos na súa oferta Clean Code.

Agora os desenvolvedores poden descubrir e solucionar automaticamente problemas de seguranza derivados das interaccións entre o código fonte do usuario e as bibliotecas de código aberto de terceiros.

Chamada "SAST máis profundo", a nova detección avanzada resolve problemas que as ferramentas SAST tradicionais non seguen porque non seguen o fluxo dentro do código da biblioteca. Os provedores tradicionais de SAST analizan o código da aplicación do usuario. Estas ferramentas non analizan o código combinado e marcan as bibliotecas dun xeito pouco sofisticado, ignorando o contexto e o uso dentro da biblioteca. O resultado é que as funcións da biblioteca considéranse caixas negras, o que deixa ás organizacións na escuridade sobre se son verdadeiramente seguras para un determinado contexto ou non. Ademais, estas ferramentas normalmente só admiten un puñado de marcos populares, que a miúdo requiren unha configuración inicial para instalar. Todo isto fai que os problemas de seguridade creados polo uso exclusivo de bibliotecas de código aberto de terceiros non se detecten.

Olivier Gaudin, CEO e cofundador de Sonar

“O código é código, xa sexa escrito por un programador do teu equipo ou parte dunha biblioteca que resolve un problema específico. Os dous enfoques diferentes sempre me molestaron e estou encantado de que agora sexamos capaces de analizar todos os códigos da mesma forma, resolvendo o que antes se consideraba un problema imposible", dixo Olivier Gaudin, CEO e cofundador de Sonar. "Grazas aos avances máis profundos de SAST realizados na nosa solución Clean Code, as organizacións poden descubrir estas vulnerabilidades e solucionalas rapidamente a medida que se desenvolve o código".

Sonar salva a brecha SAST tradicional mediante a súa análise granular das interaccións do código fonte do usuario con dependencias externas, todo sen necesidade de ningunha configuración especial ou custos incrementais. Esta innovación SAST máis profunda promove a misión de Sonar de equipar ás organizacións coas ferramentas que necesitan para acadar un estado de código limpo : código consistente, intencionado, adaptable e responsable. Cando o código se adhire a estas características, o software faise fiable, manexable e seguro.

"Estímase que máis do 90 % das aplicacións aproveitan bibliotecas de terceiros e interactúan co código dentro delas, pero a maioría das ferramentas SAST non indican aos desenvolvedores que dependencias fan que o seu código sexa vulnerable. A seguridade é unha misión crítica e cantos máis problemas atopes e soluciones antes de que poidan causar danos, mellor será o teu negocio", dixo Rik Turner, analista principal senior que cubre a seguridade cibernética en Omdia. "Esa é a esencia da onda de seguridade proactiva que estamos a ver na industria das TI: atopala e solucionala antes de que se explote".

SAST de Sonar

A funcionalidade SAST máis profunda de Sonar está dispoñible sen custo adicional nas edicións comerciais de SonarQube (a ritmo propio) e SonarCloud Ferramentas de revisión de códigos de análise estática (baseadas na nube) líderes no sector que inspeccionan e analizan continuamente a base de código mediante controis de calidade para determinar se o código cumpre os estándares defidestinados ao desenvolvemento e produción. Actualmente, Deeper SAST admite linguaxes de programación Java, C# e TypeScript e abrangue miles das bibliotecas de código aberto máis importantes e de uso común, incluídas as súas dependencias (transitivas) posteriores.

Lograr un estado de código limpo

Sonar permite aos equipos de desenvolvemento escribir código limpo proporcionándolles as ferramentas e as mellores prácticas adecuadas, para que poidan dedicar menos tempo á resolución de problemas e máis tempo a acadar os obxectivos comerciais e de entrega. Combinando a solución Sonar coa metodoloxía Limpeza segundo o código empresa (establecendo estándares para manter limpo o código novo, engadido ou modificado) e a súa guía de educación de código chamada "Aprende a medida que codifica", os desenvolvedores teñen unha resolución e entrega de problemas máis rápidas, mellora do código e poden fomentar o crecemento profesional e a retención do equipo. Hoxe hai máis de sete millóns de desenvolvedores que usan Sonar.

Sonar tamén se compromete activamente co seu ecosistema e comunidades de clientes, así como asociacións con varias universidades para proxectos de investigación de seguridade, software de código aberto e comunidades de inicio. Ademais, Sonar conta cun equipo dedicado de investigadores de seguridade que atopa e divulga de forma responsable as vulnerabilidades de día cero que se poden explotar no software de código aberto; estes achados utilízanse como inspiración para novas regras de seguridade e deteccións para axudar a atopar vulnerabilidades.

Obtén máis información sobre a nosa solución de Sonar e innovación SAST máis profunda (SonarQube, SonarCloud, SonarLint). Coñece aos expertos de Sonar en Black Hat USA, stand núm. 2760, 8-10 de agosto.

Sobre Sonars

Sonar permite que os desenvolvedores e organizacións consigan sistemáticamente un estado de código limpo para que todo o código sexa axeitado para o desenvolvemento e a produción. Ao aplicar a metodoloxía Sonar Clean as You Code, as organizacións minimizan o risco, reducen a débeda técnica e obteñen máis valor do seu software dun xeito previsible e sostible.

A solución Sonar comercial e de código aberto - SonarLint, SonarCloud e SonarQube - admite máis de 30 linguaxes de programación, marcos e tecnoloxías de infraestrutura. Máis de 400.000 organizacións de todo o mundo confían para limpar máis de medio billón de liñas de código, Sonar é unha parte integral da entrega de software mellor .

BlogInnovazione.it