當(dāng)前您所在的位置：首頁(yè)>新聞中心>行業(yè)動(dòng)態(tài)

SonarQube：針對(duì)開發(fā)人員的代碼安全

發(fā)布時(shí)間：2021/10/15 瀏覽量：3653

使用靜態(tài)應(yīng)用程序安全性測(cè)試（SAST）在代碼審查中檢測(cè)安全性問題

安全分析

使用靜態(tài)應(yīng)用程序安全性測(cè)試（SAST）在代碼審查中檢測(cè)安全性問題

早期的安全反饋，授權(quán)開發(fā)人員

代碼安全性不再是安全團(tuán)隊(duì)的領(lǐng)域。

除了單詞（DevSecOps，SDLC等）之外，真正的機(jī)會(huì)還在于開發(fā)人員使用SonarQube檢測(cè)漏洞和安全熱點(diǎn)，解釋并給出適當(dāng)?shù)暮罄m(xù)步驟編寫更安全的代碼。

掌握所有權(quán)
集成開發(fā)環(huán)境整合
Quality Gate
保持安全

掌握所有權(quán)

在代碼審查期間獲得安全反饋是你學(xué)習(xí)更多知識(shí)和掌握代碼安全的機(jī)會(huì)。

集成開發(fā)環(huán)境整合

在SonarQube中查找漏洞和安全熱點(diǎn)，并以SonarLint為指導(dǎo)在你的IDE中修復(fù)它們。

Quality Gate

在你的質(zhì)量門中執(zhí)行漏洞標(biāo)準(zhǔn)和安全熱點(diǎn)審查，以確保你只合并安全代碼。

保持安全

對(duì)問題及其影響的深入理解會(huì)導(dǎo)致更好的修復(fù)和更安全的應(yīng)用。

明確的安全問題，明確的行動(dòng)

在開發(fā)團(tuán)隊(duì)的帶領(lǐng)下，以合理的模式解決安全問題

安全性

熱點(diǎn) 代碼審查

安全熱點(diǎn)是對(duì)安全敏感的代碼的使用。他們可能還可以，但是必須經(jīng)過人工檢查才能確定。

當(dāng)開發(fā)人員編寫代碼并與安全熱點(diǎn)進(jìn)行交互時(shí)，他們將學(xué)會(huì)評(píng)估安全風(fēng)險(xiǎn)，同時(shí)更多地了解安全編碼做法。

可以用來：

散列數(shù)據(jù)對(duì)安全性敏感。

安全熱點(diǎn)

安全性

漏洞代碼更改/修復(fù)

安全漏洞需要立即采取行動(dòng)。 SonarQube提供了詳細(xì)的問題描述和代碼亮點(diǎn)，以解釋為什么您的代碼存在風(fēng)險(xiǎn)。

只需按照指導(dǎo)進(jìn)行操作，簽入修復(fù)程序并保護(hù)您的應(yīng)用程序安全即可。

可以用來：

使用密鑰長(zhǎng)度，以提供足夠的熵來抵御暴力攻擊。對(duì)于RSA算法，它的長(zhǎng)度至少應(yīng)為2048位。

安全漏洞阻斷器

OWASP Top 10

OWASP Top 10代表了安全專家對(duì)網(wǎng)絡(luò)應(yīng)用最關(guān)鍵安全風(fēng)險(xiǎn)的廣泛共識(shí)。SonarQube在許多語言中提供重要的OWASP Top 10覆蓋，以幫助你保護(hù)你的系統(tǒng)、你的數(shù)據(jù)和你的用戶。

開發(fā)者版本

通過污點(diǎn)分析提供最大的保護(hù)

不要讓不被信任的用戶輸入損害你的代碼安全

追擊不良行為者

確保用戶提供的數(shù)據(jù)在進(jìn)入關(guān)鍵系統(tǒng)（數(shù)據(jù)庫(kù)、文件系統(tǒng)、操作系統(tǒng)等）之前就被凈化，有助于確保你的代碼安全。污點(diǎn)分析在整個(gè)執(zhí)行流程中跟蹤不受信任的用戶輸入--不僅跨越方法，而且從文件到文件。