Sonar-ийн хүчирхэг шинэ гүнзгий аналитик чадвар нь нууц кодын түвшинд аюулгүй байдлын асуудлыг илрүүлдэг

Энэхүү шинэлэг зүйл нь эх код болон гуравдагч талын номын сангуудын харилцан үйлчлэлийн улмаас үүссэн эмзэг байдлыг илрүүлдэг.

Цэвэр код шийдлүүдийн тэргүүлэгч компани болох Sonar өнөөдөр Clean Code санал болгож буй томоохон ахиц дэвшлийг зарлалаа.

Одоо хөгжүүлэгчид хэрэглэгчийн эх код болон гуравдагч талын нээлттэй эхийн сангуудын хоорондын харилцан үйлчлэлийн үр дүнд үүссэн аюулгүй байдлын асуудлыг автоматаар илрүүлж, засах боломжтой болсон.

"Илүү гүнзгий SAST" гэж нэрлэгддэг шинэ дэвшилтэт илрүүлэлт нь уламжлалт SAST хэрэгслүүдийн номын сангийн код доторх урсгалыг дагадаггүй тул дагаж мөрддөггүй асуудлуудыг шийддэг. Уламжлалт SAST үйлдвэрлэгчид хэрэглэгчийн програмын кодыг шинжилдэг. Эдгээр хэрэгслүүд нь нийлмэл кодыг задлан шинжилдэггүй бөгөөд номын сангийн контекст болон хэрэглээг үл тоомсорлон номын сангуудыг нарийн төвөгтэй байдлаар тэмдэглэдэггүй. Үүний үр дүнд номын сангийн функцууд нь хар хайрцагт тооцогдож, тухайн нөхцөл байдалд үнэхээр аюулгүй эсэх нь байгууллагуудыг харанхуйд үлдээдэг. Нэмж дурдахад эдгээр хэрэгслүүд нь ихэвчлэн цөөн хэдэн алдартай фреймворкуудыг дэмждэг бөгөөд ихэвчлэн суулгахын тулд анхны тохиргоог шаарддаг. Энэ бүхэн нь гуравдагч талын нээлттэй эхийн номын сангуудын өвөрмөц хэрэглээнээс үүдэлтэй аюулгүй байдлын асуудлуудыг илрүүлдэггүй.

Olivier Gaudin, Гүйцэтгэх захирал бөгөөд Sonar-ийн үүсгэн байгуулагчдын нэг

“Код бол танай багийн хөгжүүлэгч эсвэл тодорхой асуудлыг шийддэг номын сангийн нэг хэсэг бичсэн код юм. Хоёр өөр арга барил намайг үргэлж зовоож байсан бөгөөд одоо бид бүх кодыг ижил аргаар задлан шинжилж, боломжгүй гэж үздэг байсан асуудлыг шийдэж чадсандаа баяртай байна" гэж Sonar компанийн гүйцэтгэх захирал, үүсгэн байгуулагч Оливье Гаудин хэлэв. "Манай Цэвэр Кодын шийдэлд хийсэн SAST илүү гүнзгий дэвшилтүүдийн ачаар байгууллагууд эдгээр эмзэг байдлыг илрүүлж, кодыг боловсруулах явцад хурдан засах боломжтой."

Sonar нь ямар нэгэн тусгай тохиргоо, нэмэлт зардал шаардалгүйгээр хэрэглэгчийн эх кодын гадаад хамааралтай харилцан үйлчлэлд дүн шинжилгээ хийх замаар уламжлалт SAST цоорхойг нөхдөг. Энэхүү илүү гүнзгий SAST инноваци нь байгууллагуудыг өндөр түвшинд хүрэхэд шаардлагатай багаж хэрэгслээр хангах Sonar-ийн эрхэм зорилгыг улам бүр ахиулж байна. цэвэр код : тууштай, санаатай, дасан зохицох чадвартай, хариуцлагатай код. Код нь эдгээр шинж чанаруудыг дагаж мөрдвөл програм хангамж найдвартай, удирдах боломжтой, аюулгүй болно.

“Аппликешнүүдийн 90 гаруй хувь нь гуравдагч талын номын санг ашиглаж, тэдгээрийн доторх кодтой харилцдаг гэж тооцоолж байгаа боловч ихэнх SAST хэрэгслүүд нь ямар хамаарал нь тэдний кодыг эмзэг болгож байгааг хөгжүүлэгчдэд хэлдэггүй. Аюулгүй байдал нь эрхэм зорилго бөгөөд хохирол учруулахаас нь өмнө хэдий чинээ олон асуудлыг олж засварлана, төдий чинээ таны бизнес сайн байх болно” гэж Омдиа дахь кибер аюулгүй байдлын ахлах шинжээч Рик Тернер хэлэв. "Энэ бол мэдээллийн технологийн салбарт бидний харж буй идэвхтэй аюулгүй байдлын давалгааны мөн чанар юм: үүнийг ашиглахаас нь өмнө олж, засаарай."

Sonar-ийн SAST

Sonar-ийн илүү гүнзгийрүүлсэн SAST функцийг SonarQube (бие даасан) болон арилжааны хувилбаруудад нэмэлт үнэ төлбөргүйгээр авах боломжтой. SonarCloud (үүлэнд суурилсан), код нь стандартад нийцэж байгаа эсэхийг тодорхойлохын тулд чанарын шалгалтыг ашиглан кодын баазыг тасралтгүй шалгаж, дүн шинжилгээ хийдэг салбартаа тэргүүлэгч статик шинжилгээний кодын шалгах хэрэгслүүд defiхөгжүүлж, үйлдвэрлэхээр зорьсон. Deeper SAST нь одоогоор Java, C# болон TypeScript програмчлалын хэлийг дэмждэг бөгөөд хамгийн чухал, түгээмэл хэрэглэгддэг олон мянган нээлттэй эхийн сангууд, тэдгээрийн дараалсан (шилжилтийн) хамаарлыг хамардаг.

Цэвэр кодын төлөвт хүрэх

Sonar нь хөгжүүлэлтийн багуудад зөв хэрэглүүр, шилдэг туршлагуудаар хангаснаар цэвэр код бичих боломжийг олгодог бөгөөд ингэснээр тэд алдааг олж засварлахад бага цаг зарцуулж, бизнес болон хүргэлтийн зорилгодоо хүрэхэд илүү их цаг зарцуулдаг. Sonar шийдлийг аргачлалтай хослуулах Кодоороо цэвэрлээрэй компани (шинэ, нэмсэн эсвэл өөрчилсөн кодыг цэвэр байлгах стандартыг тогтоодог) болон "Кодлох тусам сур" нэртэй кодын боловсролын гарын авлагыг ашигласнаар хөгжүүлэгчид асуудлыг хурдан шийдвэрлэх, хүргэх, кодыг сайжруулах, мэргэжлийн өсөлт, багийг хадгалахад түлхэц болно. Өнөөдөр Sonar програмыг ашигладаг долоон сая гаруй хөгжүүлэгчид байдаг.

Sonar нь экосистем болон үйлчлүүлэгчидтэйгээ идэвхтэй хамтран ажилладаг бөгөөд аюулгүй байдлын судалгааны төсөл, нээлттэй эхийн программ хангамж, гарааны бүлгүүдэд зориулж хэд хэдэн их дээд сургуулиудтай хамтран ажилладаг. Нэмж дурдахад, Sonar нь нээлттэй эхийн програм хангамжийн XNUMX өдрийн сул талыг олж илрүүлж, хариуцлагатайгаар задруулдаг аюулгүй байдлын судлаачдын тусгай багтай; Эдгээр олдворууд нь цоорхойг илрүүлэхэд туслах аюулгүй байдлын шинэ дүрэм, илрүүлэлтийн урам зориг болгон ашигладаг.

Манай хамгийн гүн гүнзгий SAST инноваци ба Sonar шийдлийн (SonarQube, SonarCloud, SonarLint) талаар нэмэлт мэдээлэл аваарай. АНУ-ын Black Hat, лангуу № ийн Sonar мэргэжилтнүүдтэй уулзана уу. 2760, 8-р сарын 10-XNUMX.

Sonars-ийн тухай

Sonar нь хөгжүүлэгчид болон байгууллагуудад бүх кодыг боловсруулах, үйлдвэрлэхэд тохиромжтой байхын тулд Цэвэр код төлөвт системтэйгээр хүрэх боломжийг олгодог. Sonar Clean as You Code аргачлалыг хэрэглэснээр байгууллагууд эрсдэлийг багасгаж, техникийн өрийг бууруулж, программ хангамжаасаа урьдчилан таамаглах боломжтой, тогтвортой байдлаар илүү их үнэ цэнийг авдаг.

Нээлттэй эхийн болон арилжааны Sonar шийдэл болох SonarLint, SonarCloud болон SonarQube нь 30 гаруй програмчлалын хэл, хүрээ, дэд бүтцийн технологийг дэмждэг. Дэлхий даяар 400.000 гаруй байгууллага хагас их наяд гаруй мөр кодыг цэвэрлэнэ гэдэгт итгэдэг Sonar нь илүү сайн програм хангамжийг хүргэх салшгүй хэсэг юм. .

BlogInnovazione.it