Новые мощные аналитические возможности Sonar обнаруживают проблемы безопасности на уровне скрытого кода.

Это новшество выявляет уязвимости, возникающие при взаимодействии исходного кода и сторонних библиотек.

Sonar, ведущий поставщик решений Clean Code, сегодня объявила о значительных улучшениях в своем предложении Clean Code.

Теперь разработчики могут автоматически обнаруживать и устранять проблемы безопасности, возникающие в результате взаимодействия между исходным кодом пользователя и сторонними библиотеками с открытым исходным кодом.

Новое расширенное обнаружение, получившее название «более глубокий SAST», решает проблемы, с которыми традиционные инструменты SAST не справляются, поскольку они не следуют потоку внутри кода библиотеки. Традиционные поставщики SAST анализируют код пользовательских приложений. Эти инструменты не анализируют комбинированный код и помечают библиотеки простым способом, игнорируя контекст и использование в библиотеке. В результате библиотечные функции считаются черными ящиками, оставляя организации в неведении относительно того, действительно ли они безопасны для данного контекста или нет. Кроме того, эти инструменты обычно поддерживают только несколько популярных фреймворков, и для их установки часто требуется первоначальная настройка. Все это приводит к тому, что проблемы безопасности, созданные уникальным использованием сторонних библиотек с открытым исходным кодом, остаются незамеченными.

Оливье Годен, генеральный директор и соучредитель Sonar

«Код — это код, независимо от того, написан ли он разработчиком из вашей команды или частью библиотеки, которая решает конкретную проблему. Два разных подхода всегда беспокоили меня, и я очень рад, что теперь мы можем анализировать все коды одинаково, решая то, что раньше считалось неразрешимой проблемой», — сказал Оливье Годен, генеральный директор и соучредитель Sonar. «Благодаря более глубоким усовершенствованиям SAST, внесенным в наше решение Clean Code, организации могут обнаруживать эти уязвимости и быстро исправлять их по мере разработки кода».

Sonar устраняет традиционный пробел SAST благодаря детальному анализу взаимодействия пользовательского исходного кода с внешними зависимостями, и все это без необходимости какой-либо специальной настройки или дополнительных затрат. Эта более глубокая инновация SAST способствует выполнению миссии Sonar по оснащению организаций инструментами, необходимыми для достижения состояния чистый код : последовательный, преднамеренный, адаптируемый и ответственный код. Когда код соответствует этим характеристикам, программное обеспечение становится надежным, управляемым и безопасным.

«Подсчитано, что более 90% приложений используют сторонние библиотеки и взаимодействуют с кодом внутри них, однако большинство инструментов SAST не сообщают разработчикам, какие зависимости делают их код уязвимым. Безопасность имеет решающее значение, и чем больше проблем вы обнаружите и устраните до того, как они смогут нанести ущерб, тем лучше будет для вашего бизнеса», — сказал Рик Тернер, старший главный аналитик, отвечающий за кибербезопасность в Omdia. «В этом суть волны проактивной безопасности, которую мы наблюдаем в ИТ-индустрии: найти и исправить до того, как она будет взломана».

SAST сонара

Более глубокие функциональные возможности Sonar SAST доступны без дополнительной оплаты в коммерческих версиях SonarQube (для самостоятельного обучения) и СонарОблако (облачные) ведущие в отрасли инструменты проверки кода для статического анализа, которые постоянно проверяют и анализируют базу кода, используя проверки качества, чтобы определить, соответствует ли код стандартам. defiготов для разработки и производства. В настоящее время Deeper SAST поддерживает языки программирования Java, C# и TypeScript и охватывает тысячи наиболее важных и часто используемых библиотек с открытым исходным кодом, включая их последующие (транзитивные) зависимости.

Достижение чистого состояния кода

Sonar позволяет командам разработчиков писать чистый код, предоставляя им нужные инструменты и лучшие практики, чтобы они могли тратить меньше времени на устранение неполадок и больше времени на достижение бизнес-целей и поставленных задач. Сочетание решения Sonar с методологией Чистый код компании (установление стандартов для поддержания чистоты нового, добавленного или измененного кода) и ее руководство по обучению программированию под названием «Учитесь кодировать», разработчики быстрее решают проблемы и доставляют их, улучшают код и могут способствовать профессиональному росту и удержанию команды. Сегодня более семи миллионов разработчиков используют Sonar.

Sonar также активно взаимодействует со своей экосистемой и сообществами клиентов, а также сотрудничает с несколькими университетами для исследовательских проектов в области безопасности, программного обеспечения с открытым исходным кодом и сообществ стартапов. Кроме того, в Sonar есть специальная группа исследователей безопасности, которые находят и ответственно раскрывают уязвимости нулевого дня в программном обеспечении с открытым исходным кодом; эти результаты используются в качестве вдохновения для новых правил безопасности и обнаружений, помогающих находить уязвимости.

Узнайте больше о нашей самой глубокой инновации SAST и решении Sonar (SonarQube, SonarCloud, SonarLint). Познакомьтесь с экспертами по сонару на выставке Black Hat USA, стенд №. 2760, 8-10 августа.

О сонарах

Sonar позволяет разработчикам и организациям систематически достигать состояния чистого кода, чтобы весь код был пригоден для разработки и производства. Применяя методологию Sonar Clean as You Code, организации минимизируют риски, сокращают технический долг и получают больше пользы от своего программного обеспечения предсказуемым и устойчивым образом.

Коммерческое решение Sonar с открытым исходным кодом — SonarLint, SonarCloud и SonarQube — поддерживает более 30 языков программирования, инфраструктур и инфраструктурных технологий. Sonar, которому доверяют более 400.000 XNUMX организаций по всему миру для очистки более полутриллиона строк кода, является неотъемлемой частью создания лучшего программного обеспечения. .

BlogInnovazione.it