安全分析
使用靜態(tài)應(yīng)用程序安全性測試(SAST)在代碼審查中檢測安全性問題
早期的安全反饋,授權(quán)開發(fā)人員
代碼安全性不再是安全團隊的領(lǐng)域�。
除了單詞(DevSecOps,SDLC等)之外���,真正的機會還在于開發(fā)人員使用SonarQube檢測漏洞和安全熱點����,解釋并給出適當(dāng)?shù)暮罄m(xù)步驟編寫更安全的代碼�����。
- 掌握所有權(quán)
- 集成開發(fā)環(huán)境整合
- Quality Gate
- 保持安全
掌握所有權(quán)
在代碼審查期間獲得安全反饋是你學(xué)習(xí)更多知識和掌握代碼安全的機會�。
集成開發(fā)環(huán)境整合
在SonarQube中查找漏洞和安全熱點�����,并以SonarLint為指導(dǎo)在你的IDE中修復(fù)它們���。
Quality Gate
在你的質(zhì)量門中執(zhí)行漏洞標(biāo)準(zhǔn)和安全熱點審查,以確保你只合并安全代碼�����。
保持安全
對問題及其影響的深入理解會導(dǎo)致更好的修復(fù)和更安全的應(yīng)用���。
明確的安全問題,明確的行動
在開發(fā)團隊的帶領(lǐng)下����,以合理的模式解決安全問題
安全性
熱點 
代碼審查
安全熱點是對安全敏感的代碼的使用。 他們可能還可以�����,但是必須經(jīng)過人工檢查才能確定���。
當(dāng)開發(fā)人員編寫代碼并與安全熱點進行交互時����,他們將學(xué)會評估安全風(fēng)險,同時更多地了解安全編碼做法�。
可以用來:
散列數(shù)據(jù)對安全性敏感。
安全熱點 
安全性
漏洞 
代碼更改/修復(fù)
安全漏洞需要立即采取行動��。 SonarQube提供了詳細的問題描述和代碼亮點���,以解釋為什么您的代碼存在風(fēng)險����。
只需按照指導(dǎo)進行操作�,簽入修復(fù)程序并保護您的應(yīng)用程序安全即可。
可以用來:
使用密鑰長度�����,以提供足夠的熵來抵御暴力攻擊��。 對于RSA算法��,它的長度至少應(yīng)為2048位����。
安全漏洞 
阻斷器
OWASP Top 10
OWASP Top 10代表了安全專家對網(wǎng)絡(luò)應(yīng)用最關(guān)鍵安全風(fēng)險的廣泛共識���。SonarQube在許多語言中提供重要的OWASP Top 10覆蓋,以幫助你保護你的系統(tǒng)���、你的數(shù)據(jù)和你的用戶����。
開發(fā)者版本
通過污點分析提供最大的保護
不要讓不被信任的用戶輸入損害你的代碼安全
追擊不良行為者
確保用戶提供的數(shù)據(jù)在進入關(guān)鍵系統(tǒng)(數(shù)據(jù)庫�、文件系統(tǒng)、操作系統(tǒng)等)之前就被凈化����,有助于確保你的代碼安全����。污點分析在整個執(zhí)行流程中跟蹤不受信任的用戶輸入--不僅跨越方法,而且從文件到文件����。
- Java
- PHP
- C#
- C
- C++
- Python
- JS/TS
重要語言的關(guān)鍵安全規(guī)則
獲取與關(guān)鍵語言高度相關(guān)的規(guī)則,以幫助確保代碼安全�����。
企業(yè)版
在企業(yè)級別跟蹤安全合規(guī)性
對最復(fù)雜的項目進行全面的應(yīng)用程序安全跟蹤
OWASP / CWE安全報告
專用報告使您可以針對OWASP Top 10和CWE Top 25(2019和2020版本)跟蹤代碼安全性。 SonarSource報告可幫助安全專業(yè)人員將安全問題轉(zhuǎn)化為開發(fā)人員可以理解的語言��。
PDF下載
安全報告的PDF導(dǎo)出包括項目安全概述和最重要的安全報告��。
使用專有框架�?將它們輸入SonarQube引擎
企業(yè)版使您可以聲明用于捕獲用戶輸入和/或保留輸入的自定義框架。 然后����,我們的注射缺陷檢測引擎會跟蹤未經(jīng)消毒的用戶輸入。
