Dem Sonar seng mächteg nei déif analytesch Kapazitéit erkennt Sécherheetsprobleemer um verstoppte Code Niveau

Dës Innovatioun entdeckt Schwachstelle erstallt duerch d'Interaktioun tëscht Quellcode an Drëtt-Parteibibliothéiken

Sonar, e féierende Fournisseur vu Clean Code Léisungen, huet haut bedeitend Fortschrëtter a senger Clean Code Offer ugekënnegt.

Elo kënnen d'Entwéckler automatesch Sécherheetsprobleemer entdecken a fixéieren, déi aus Interaktiounen tëscht Benotzerquellcode an Drëtt Partei Open Source Bibliothéiken entstinn.

Genannt 'deeper SAST', léist déi nei fortgeschratt Detektioun Probleemer déi traditionell SAST Tools net verfollegen well se de Flux am Bibliothéikscode net verfollegen. Traditionell SAST Ubidder analyséieren Benotzer Uwendungscode. Dës Tools parséieren net de kombinéierte Code a markéieren d'Bibliothéiken op eng onsophistikéiert Manéier, ignoréieren de Kontext an d'Benotzung bannent der Bibliothéik. D'Resultat ass datt d'Bibliothéiksfeatures als schwaarze Këschte ugesi ginn, déi Organisatiounen am Däischteren loossen ob se wierklech sécher sinn fir e bestëmmte Kontext oder net. Zousätzlech ënnerstëtzen dës Tools typesch nëmmen eng Handvoll populär Kaderen, déi dacks initial Setup erfuerderen fir ze installéieren. All dëst verursaacht Sécherheetsprobleemer erstallt duerch d'eenzegaarteg Notzung vun Drëtt Partei Open Source Bibliothéike fir onerkannt ze ginn.

Olivier Gaudin, CEO a Matgrënner vu Sonar

"Code ass Code, egal ob et vun engem Entwéckler an Ärem Team geschriwwe gëtt oder en Deel vun enger Bibliothéik déi e spezifesche Problem léist. Déi zwee verschidden Approchen hunn mech ëmmer gestéiert an ech si begeeschtert datt mir elo fäeg sinn all Coden op déiselwecht Manéier ze analyséieren, wat fréier als onméiglech Problem ugesi gouf ", sot den Olivier Gaudin, CEO a Matgrënner vu Sonar. "Dank der déif SAST Fortschrëtter, déi zu eiser Clean Code Léisung gemaach goufen, kënnen Organisatiounen dës Schwachstelle entdecken a séier fixéieren wéi de Code entwéckelt gëtt."

Sonar iwwerbréckt déi traditionell SAST Spalt duerch seng granulär Analyse vu Benotzerquellcode Interaktiounen mat externen Ofhängegkeeten, alles ouni d'Bedierfnes fir eng speziell Konfiguratioun oder inkrementell Käschten. Dës méi déif SAST Innovatioun fördert dem Sonar seng Missioun fir Organisatiounen mat den Tools ze equipéieren déi se brauchen fir e Staat z'erreechen propper Code : konsequent, virsiichteg, adaptéierbar a verantwortlech Code. Wann de Code un dës Charakteristiken hält, gëtt d'Software zouverlässeg, handhabbar a sécher.

"Et gëtt geschat datt iwwer 90% vun den Uwendungen Drëtt-Partei-Bibliothéiken benotzen a mam Code an hinnen interagéieren, awer déi meescht SAST Tools soen d'Entwéckler net wéi eng Ofhängegkeet hire Code vulnérabel mécht. Sécherheet ass Missioun kritesch, a wat méi Themen Dir fannt a fixéiert ier se Schued kënne verursaachen, dest besser wäert Äre Geschäft sinn ", sot de Rik Turner, Senior Haaptanalytiker fir Cyber ​​​​Sécherheet bei Omdia. "Dat ass d'Essenz vun der Welle vu proaktiver Sécherheet, déi mir an der IT-Industrie gesinn: Fannt et a fixéiert et ier et ausgenotzt gëtt."

SAST vun Sonar

Dem Sonar seng méi déif SAST Funktionalitéit ass verfügbar ouni zousätzlech Käschten bannent de kommerziellen Editioune vu SonarQube (selbststänneg) an SonarCloud (Cloud-baséiert), Industrie-féierend statesch Analyse Code review Tools déi kontinuéierlech d'Code Basis inspektéieren an analyséieren mat Qualitéitskontrollen fir ze bestëmmen ob de Code Standarden entsprécht defifir Entwécklung a Produktioun ofgeschloss. Deeper SAST ënnerstëtzt de Moment Java, C # an TypeScript Programméierungssproochen an deckt Dausende vun de wichtegsten an allgemeng benotzte Open Source Bibliothéiken, dorënner hir spéider (transitiv) Ofhängegkeeten.

Erreeche vun engem proppere Code Staat

Sonar erméiglecht d'Entwécklungsteams fir propper Code ze schreiwen andeems se hinnen déi richteg Tools a beschten Praktiken ubidden, sou datt se manner Zäit kënne verbréngen fir Probleemer ze léisen a méi Zäit fir Geschäfts- a Liwwerungsziler z'erreechen. D'Kombinatioun vun der Sonar Léisung mat der Methodik Propper wéi Dir Code Firma (Standarden setzen fir neien, addéierten oder geännerte Code propper ze halen) a säi Code Educatiounsguide genannt "Learn as You Code", Entwéckler hunn méi séier Problemléisung a Liwwerung, Codeverbesserung, a kënne professionnelle Wuesstum an Teamretentioun förderen. Haut ginn et iwwer siwe Milliounen Entwéckler déi Sonar benotzen.

Sonar engagéiert och aktiv mat hiren Ökosystem a Clientsgemeinschaften, souwéi Partnerschafte mat verschiddenen Universitéite fir Sécherheetsfuerschungsprojeten, Open Source Software a Start-up Gemeinschaften. Zousätzlech huet Sonar en dedizéierten Team vu Sécherheetsfuerscher, déi exploitéierbar Null-Dag Schwachstelle an Open Source Software fannen a verantwortlech verroden; dës Erkenntnisser ginn als Inspiratioun fir nei Sécherheetsregelen an Detektiounen benotzt fir Schwachstelle ze fannen.

Léiert méi iwwer eis déifste SAST Innovatioun a Sonar Léisung (SonarQube, SonarCloud, SonarLint). Trefft d'Sonar Experten um Black Hat USA, Stand Nr. 2760, 8-10 August.

Iwwer Sonars

Sonar erlaabt Entwéckler an Organisatiounen systematesch e Clean Code Staat z'erreechen sou datt all Code fir Entwécklung a Produktioun gëeegent ass. Andeems Dir d'Sonar Clean as You Code Methodik applizéiert, miniméieren Organisatiounen Risiko, reduzéieren technesch Scholden, a kréien méi Wäert aus hirer Software op eng prévisibel an nohalteg Manéier.

D'Open Source a kommerziell Sonar Léisung - SonarLint, SonarCloud a SonarQube - ënnerstëtzt iwwer 30 Programméierungssproochen, Kaderen an Infrastrukturtechnologien. Vertrauen vun iwwer 400.000 Organisatiounen weltwäit fir méi wéi eng hallef Billioun Linnen Code ze botzen, Sonar ass en integralen Deel fir besser Software ze liwweren .

BlogInnovazione.it