ความสามารถในการวิเคราะห์เชิงลึกใหม่ที่ทรงพลังของ Sonar ตรวจจับปัญหาด้านความปลอดภัยที่ระดับรหัสที่ซ่อนอยู่

นวัตกรรมนี้เปิดเผยช่องโหว่ที่เกิดจากการโต้ตอบระหว่างซอร์สโค้ดและไลบรารีของบุคคลที่สาม

Sonar ผู้ให้บริการชั้นนำด้านโซลูชัน Clean Code ได้ประกาศความก้าวหน้าครั้งสำคัญในการนำเสนอ Clean Code

ขณะนี้นักพัฒนาซอฟต์แวร์สามารถค้นหาและแก้ไขปัญหาด้านความปลอดภัยโดยอัตโนมัติซึ่งเป็นผลมาจากการโต้ตอบระหว่างซอร์สโค้ดของผู้ใช้และไลบรารีโอเพ่นซอร์สของบุคคลที่สาม

ที่เรียกว่า 'SAST เชิงลึก' การตรวจหาขั้นสูงใหม่ช่วยแก้ปัญหาที่เครื่องมือ SAST แบบเดิมไม่ปฏิบัติตามเนื่องจากไม่ปฏิบัติตามโฟลว์ภายในรหัสไลบรารี ผู้ให้บริการ SAST แบบดั้งเดิมจะวิเคราะห์รหัสแอปพลิเคชันของผู้ใช้ เครื่องมือเหล่านี้ไม่แยกวิเคราะห์รหัสที่รวมกันและทำเครื่องหมายไลบรารีด้วยวิธีที่ไม่ซับซ้อน โดยไม่สนใจบริบทและการใช้งานภายในไลบรารี ผลลัพธ์คือคุณลักษณะของห้องสมุดถูกพิจารณาว่าเป็นกล่องดำ ทำให้องค์กรตกอยู่ในความมืดมนว่าปลอดภัยจริงสำหรับบริบทที่กำหนดหรือไม่ นอกจากนี้ เครื่องมือเหล่านี้มักจะรองรับเฟรมเวิร์กยอดนิยมเพียงไม่กี่ตัวเท่านั้น ซึ่งมักต้องมีการตั้งค่าเริ่มต้นเพื่อติดตั้ง ทั้งหมดนี้ทำให้ปัญหาด้านความปลอดภัยที่สร้างขึ้นโดยการใช้ไลบรารี่โอเพ่นซอร์สของบุคคลที่สามโดยไม่ถูกตรวจพบ

Olivier Gaudin ซีอีโอและผู้ร่วมก่อตั้ง Sonar

“โค้ดคือโค้ด ไม่ว่าจะเขียนโดยนักพัฒนาในทีมของคุณหรือส่วนหนึ่งของไลบรารีที่แก้ปัญหาเฉพาะ วิธีการสองวิธีที่แตกต่างกันทำให้ฉันรำคาญอยู่เสมอ และฉันก็ตื่นเต้นที่ตอนนี้เราสามารถวิเคราะห์โค้ดทั้งหมดด้วยวิธีเดียวกันได้ แก้ปัญหาที่เคยถูกมองว่าเป็นปัญหาที่เป็นไปไม่ได้” Olivier Gaudin ซีอีโอและผู้ร่วมก่อตั้ง Sonar กล่าว “ด้วยความก้าวหน้าของ SAST ที่ลึกยิ่งขึ้นในโซลูชัน Clean Code ของเรา องค์กรต่างๆ สามารถค้นพบช่องโหว่เหล่านี้และแก้ไขได้อย่างรวดเร็วเมื่อโค้ดได้รับการพัฒนา”

Sonar เชื่อมช่องว่าง SAST แบบดั้งเดิมผ่านการวิเคราะห์แบบละเอียดของการโต้ตอบซอร์สโค้ดของผู้ใช้กับการพึ่งพาภายนอก ทั้งหมดนี้ไม่จำเป็นต้องมีการกำหนดค่าพิเศษหรือค่าใช้จ่ายส่วนเพิ่มใดๆ นวัตกรรม SAST ที่ลึกซึ้งยิ่งขึ้นนี้ช่วยเสริมพันธกิจของ Sonar ในการจัดหาเครื่องมือที่จำเป็นสำหรับองค์กรเพื่อให้บรรลุสถานะของ รหัสสะอาด : โค้ดที่สอดคล้อง ตั้งใจ ปรับเปลี่ยนได้และมีความรับผิดชอบ เมื่อโค้ดเป็นไปตามลักษณะเหล่านี้ ซอฟต์แวร์จะมีความน่าเชื่อถือ จัดการได้ และปลอดภัย

“มีการประเมินว่ากว่า 90% ของแอปพลิเคชันใช้ประโยชน์จากไลบรารีของบุคคลที่สามและโต้ตอบกับโค้ดที่อยู่ภายใน แต่เครื่องมือ SAST ส่วนใหญ่ไม่ได้บอกนักพัฒนาว่าการอ้างอิงใดที่ทำให้โค้ดของพวกเขามีความเสี่ยง การรักษาความปลอดภัยเป็นภารกิจที่สำคัญ และยิ่งคุณพบปัญหาและแก้ไขก่อนที่จะสร้างความเสียหายได้มากเท่าไร ธุรกิจของคุณก็จะยิ่งดีขึ้นเท่านั้น” Rik Turner นักวิเคราะห์หลักอาวุโสด้านความปลอดภัยทางไซเบอร์ของ Omdia กล่าว "นั่นคือสาระสำคัญของการรักษาความปลอดภัยเชิงรุกที่เราเห็นในอุตสาหกรรมไอที: ค้นหาและแก้ไขก่อนที่จะถูกโจมตี"

SAST ของโซนาร์

ฟังก์ชัน SAST ที่ลึกยิ่งขึ้นของ Sonar มีให้บริการโดยไม่มีค่าใช้จ่ายเพิ่มเติมใน SonarQube รุ่นเชิงพาณิชย์ (แบบควบคุมเอง) และ โซนาร์คลาวด์ (บนคลาวด์) เครื่องมือตรวจสอบโค้ดการวิเคราะห์เชิงสถิตชั้นนำของอุตสาหกรรมที่ตรวจสอบและวิเคราะห์โค้ดเบสอย่างต่อเนื่องโดยใช้การตรวจสอบคุณภาพเพื่อตรวจสอบว่าโค้ดเป็นไปตามมาตรฐานหรือไม่ defiเสร็จสิ้นการพัฒนาและการผลิต ปัจจุบัน Deeper SAST รองรับภาษาการเขียนโปรแกรม Java, C# และ TypeScript และครอบคลุมไลบรารี่โอเพ่นซอร์สที่สำคัญและใช้กันมากที่สุดนับพันรายการ รวมถึงการอ้างอิง (สกรรมกริยา) ที่ต่อเนื่องกัน

บรรลุสถานะรหัสที่สะอาด

Sonar ช่วยให้ทีมพัฒนาเขียนโค้ดสะอาดโดยการจัดหาเครื่องมือที่เหมาะสมและแนวทางปฏิบัติที่ดีที่สุด เพื่อให้พวกเขาใช้เวลาน้อยลงในการแก้ปัญหาและมีเวลามากขึ้นในการบรรลุเป้าหมายทางธุรกิจและการส่งมอบ ด้วยการรวมโซลูชันโซนาร์เข้ากับวิธีการ ทำความสะอาดตามที่คุณใช้รหัส บริษัท (สร้างมาตรฐานสำหรับการรักษาโค้ดใหม่ เพิ่ม หรือเปลี่ยนแปลงให้สะอาด) และคู่มือการศึกษาโค้ดที่เรียกว่า “เรียนรู้เหมือนคุณเขียนโค้ด” นักพัฒนาสามารถแก้ปัญหาและส่งมอบได้เร็วขึ้น ปรับปรุงโค้ด และสามารถส่งเสริมการเติบโตอย่างมืออาชีพและรักษาทีมได้ ปัจจุบันมีนักพัฒนากว่าเจ็ดล้านคนที่ใช้ Sonar

นอกจากนี้ Sonar ยังมีส่วนร่วมอย่างแข็งขันกับระบบนิเวศและชุมชนลูกค้า เช่นเดียวกับการเป็นหุ้นส่วนกับมหาวิทยาลัยหลายแห่งสำหรับโครงการวิจัยด้านความปลอดภัย ซอฟต์แวร์โอเพ่นซอร์ส และชุมชนสตาร์ทอัพ นอกจากนี้ Sonar ยังมีทีมนักวิจัยด้านความปลอดภัยโดยเฉพาะที่ค้นหาและรับผิดชอบในการเปิดเผยช่องโหว่ Zero-day ที่ใช้ประโยชน์ได้ในซอฟต์แวร์โอเพ่นซอร์ส การค้นพบนี้ใช้เป็นแรงบันดาลใจสำหรับกฎความปลอดภัยใหม่และการตรวจจับเพื่อช่วยค้นหาช่องโหว่

เรียนรู้เพิ่มเติมเกี่ยวกับนวัตกรรม SAST ที่ล้ำลึกที่สุดและโซลูชัน Sonar (SonarQube, SonarCloud, SonarLint) พบกับผู้เชี่ยวชาญ Sonar ที่ Black Hat USA บูธหมายเลข 2760 พ.ศ. 8 10-XNUMX สิงหาคม.

เกี่ยวกับโซนาร์

Sonar ช่วยให้นักพัฒนาและองค์กรบรรลุสถานะ Clean Code อย่างเป็นระบบ เพื่อให้โค้ดทั้งหมดเหมาะสำหรับการพัฒนาและการผลิต ด้วยการนำระเบียบวิธี Sonar Clean as You Code มาใช้ องค์กรต่างๆ จะลดความเสี่ยง ลดหนี้ทางเทคนิค และเพิ่มมูลค่าจากซอฟต์แวร์ของตนด้วยวิธีที่คาดการณ์ได้และยั่งยืน

โซลูชัน Sonar แบบโอเพ่นซอร์สและเชิงพาณิชย์ – SonarLint, SonarCloud และ SonarQube – รองรับภาษาการเขียนโปรแกรม เฟรมเวิร์ก และเทคโนโลยีโครงสร้างพื้นฐานมากกว่า 30 ภาษา ได้รับความไว้วางใจจากองค์กรมากกว่า 400.000 แห่งทั่วโลกให้ทำความสะอาดโค้ดมากกว่าครึ่งล้านล้านบรรทัด Sonar เป็นส่วนสำคัญของการส่งมอบซอฟต์แวร์ที่ดีกว่า .

BlogInnovazione.it