Sonarel proveedor líder de soluciones de seguridad de la calidad del código y del código integrado está revelando Sonarqube Advanced Security, un avance significativo en la seguridad del código que pronto estará disponible. Diseñados para extender las capacidades de análisis de Sonarqube, que actualmente cubren el código de primera parte y generado por IA, para incluir un código de código abierto de terceros, este anuncio permite a SONAR entregar la primera solución totalmente integrada para que los desarrolladores encuentren y arreglen los problemas de seguridad de la calidad y el código del código en la fase de desarrollo del ciclo de vida de desarrollo de software (SDLC), según la compañía.
El código de código abierto tiene un papel importante que desempeñar en el desarrollo moderno de aplicaciones. Según Donald Fischer, cofundador de TidElift, ahora parte de Sonar, la extensión de Sonarqube es “parte de proporcionar una solución integral que cubre todos los aspectos de la calidad del código y la seguridad del código. Cada aplicación moderna de cualquier importancia o escala incluirá un software de código abierto de terceros. Es solo parte del proceso moderno de desarrollo de software “.
“Si desea tener una visión buena e integral de la calidad de todo su código y seguridad de todo su código, realmente desea cubrir tanto el nuevo código neto que sus equipos están escribiendo, así como el código fuente abierto de terceros que están atrayendo como componentes, como bibliotecas o dependencias de estas aplicaciones”, continuó Fischer.
Sonarqube Advanced Security viene con una gama de nuevas capacidades centradas en el fortalecimiento de sus características existentes en lo que respecta al código de código abierto de terceros. Estas capacidades incluyen:
- Análisis de composición de software (SCA): Ayuda a identificar vulnerabilidades en dependencias de terceros, lo que permite a los usuarios rastrear, administrar y mitigar las vulnerabilidades conocidas (incluidas las CVE). También garantiza el cumplimiento de las políticas de licencia de software de las organizaciones, así como la generación de materiales de software detallados (SBOMS) que impulsan una mayor comprensión de la composición del código.
- Pruebas de seguridad de aplicaciones estáticas avanzadas (SAST): Mejora la detección de vulnerabilidades ocultas en las interacciones de código con dependencias de terceros, que las herramientas tradicionales a menudo no pueden detectar.
“Una de las cosas que SONAR ha desarrollado a lo largo de los años es una forma avanzada de tecnología SAST … que permite a los desarrolladores identificar flujos de datos donde los datos fluyen, no solo a través de componentes que se autorizan dentro de la organización, sino también a través de estos componentes de código abierto de terceros”, explicó Fischer. “El acoplamiento de la factura de materiales de software de TidElift, la detección de vulnerabilidades y las capacidades de cumplimiento de la licencia con esa capacidad de análisis estático avanzado de SONAR, se combinan muy bien para proporcionar una solución realmente completa y recientemente completa en el mercado”.
Las últimas características de Sonarqube se basan en sus fortalezas existentes, que incluyen:
- Análisis de contaminación: Descubriendo vulnerabilidades de inyección (como secuencias de comandos de sitios cruzados, inyección SQL) que abarcan múltiples archivos, asegurando que la entrada del usuario se use de forma segura en toda la aplicación.
- Detección de secretos: Escaneos automáticamente para secretos codificados, ayudando a los equipos a evitar fugas de credenciales.
- Escaneo de infraestructura como código (IAC): Surfaces de configuración errónea de seguridad en infraestructura como código para garantizar entornos de producción seguros.
- Informes de seguridad: Informes sobre el cumplimiento del código para los estándares, incluidos OWASP Top 10, PCI DSS, STIG, CASA y CWE Top 25.
- Configuración personalizada del motor de seguridad: Configuraciones de seguridad de ajuste fino para las necesidades únicas de las organizaciones.
“Con estas capacidades unidas, Sonar realmente está ayudando a liderar la evolución del desarrollo de software al proporcionar herramientas que son integrales y … desarrolladores de sobrealimentación para construir mejor, más rápido”, dijo Fischer. “Los desarrolladores tienen mucho en su plato. No necesitan tratar manualmente con el seguimiento de los problemas en su código o en el código de terceros. Sonar … realmente es su socio () innovando rápidamente y agregar nuevas capacidades para servir a estos desarrolladores “.
Para obtener más información sobre la seguridad avanzada de Sonarqube, visite https://www.sonarsource.com/.
Luis es un experto en Inteligência Empresarial, Redes de Computadores, Gestão de Dados e Desenvolvimento de Software. Con amplia experiencia en tecnología, su objetivo es compartir conocimientos prácticos para ayudar a los lectores a entender y aprovechar estas áreas digitales clave.
