SonarQube

Решение класса SAST для статического анализа исходных кодов, которое осуществляет автоматизированные проверки качества кода приложений, выявляет ошибки, уязвимости безопасности и помогает исправить эти проблемы перед выпуском приложения.

Решаемые задачи

  • Снижение затрат на тестирование, поддержку и доработку ПО за счет автоматизированного поиска ошибок, уязвимостей и некорректного кода.
  • Снижение рисков финансовых и репутационных потерь при компрометации сервисов или конфиденциальных данных.
  • Снижение затрат на проверки безопасности за счет обеспечения эффективного взаимодействия служб разработки и информационной безопасности.
  • Снижение затрат на инцидент-менеджмент.

Обеспечение качества кода

  • SonarQube находит в коде ошибки,которые предполагают некорректное поведение приложения.
  • Проверка «Code Smells» определяет рабочие, но трудные для поддержки и правки части кода, несоответствующие лучшим практикам разработки приложений.
  • SonarQube может найти уязвимости в вашем коде такие, как: SQL инъекции, некорректно обрабатываемые ошибки и другие распространенные уязвимости.
  • Отслеживание изменений: проверки осуществляются как по полному коду приложения, так и по каждому commit-у.
  • SonarQube обеспечивает «из коробки» набор встроенных правил проверки кода, с которыми легко обнаружить самые трудноуловимые ошибки и привести код приложения в соответствие с лучшими практиками разработки.
  • В SonarQube заложены широкие возможности тонкой настройки правил проверки.

Обнаружение уязвимостей

Анализ кода

Подозрительные, с точки зрения безопасности, фрагменты кода, которые могут потенциально содержать уязвимости.

По мере наращивания опыта работы с Security Hotspots, ваши разработчики узнают больше об оценке рисков безопасности, одновременно знакомясь с методами безопасной разработки.

Изменение кода

Известные уязвимости безопасности, в том числе известных стандартов OWASP-TOP10, CVE, SANS-25, которые требуют немедленной реакции и исправления.

Обнаруженные уязвимости содержат подробное описание проблемы и рекомендации по устранению с примерами безопасного кода.

Вовлеченность разработчиков
в процесс проверки качества

  • SonarQube предлагает простой и понятный workflow обработки обнаруженных ошибок кода и проблем безопасности с возможностью реакции и оповещения по каждому найденному событию в web-интерфейсе.
  • Система отчетности по проверкам включает в себя форматы OWASP/SANS Security

Поддержка языков и интеграция

27 языков

SonarQube поддерживает 27 языков программирования, включая мультиязыковые проекты.

CI/CD интеграция

Jenkins, Azure DevOps server и многие другие

Обратная связь в процессе анализа кода

Bitbucket, GitHub, Azure DevOps и GitLab

DevOps

Система имеет широкие возможности интеграции с DevOps-инструментами GitLab, Jenkins и другими решениями класса CI/CD.

100 000

Активное сообщество насчитывает более 100 000 пользователей системы.

Логотип СИБ

Специалисты IS-Systems помогут с внедрением

  • Осуществим установку SonarQube
  • Разработаем CI/CD для ваших проектов
  • Сделаем анализ существующих pipeline и подберем подходящий метод интеграции в соответствии со спецификой проекта
  • Проанализируем результаты
  • Настроим workflow

Заказать


* - Обязательные для заполнения параметры