Sonar ha anunciado una nueva solución integrada dentro de sus productos. Esta novedad se llama SonarQube Advanced Security y llega con el objetivo de ampliar la cobertura y seguridad del código. Así que, desde excentia, como Partner exclusivo en España de Sonar te vamos a explicar en este artículo en qué consiste este lanzamiento.
SonarQube Advanced Security es una solución que analiza el código propio, el generado por la IA y el código open source de terceros. Se trata de la primera solución integrada en las herramientas de SonarQube con la que los desarrolladores podrán encontrar y solucionar los problemas de calidad y seguridad del código en las fases más tempranas del ciclo de vida de desarrollo de software (SDLC).
SonarQube Advanced Security incluye el Análisis de Composición de Software (SCA), pruebas Avanzadas de Seguridad de Aplicaciones Estáticas (SAST) y estará disponible para todos los clientes de SonarQube.
Gracias a esta nueva solución de Sonar, los desarrolladores aumentarán su visibilidad para encontrar y solucionar problemas de seguridad mientras codifican.
Tariq Shaukat, CEO de Sonar, comentó en el anuncio oficial que el enfoque de “Sonar en la seguridad del código se basa en la misma filosofía que nos permitió convertirnos en líderes en calidad de código: priorizamos a los desarrolladores”. Además, añadió “el lanzamiento de funciones de seguridad avanzadas, como extensión de nuestra oferta actual de SonarQube, proporciona una solución integrada aún más completa de calidad y seguridad del código que permite a los desarrolladores crear mejor y más rápido”.
Esta integración es el primer paso después de la adquisición de Tidelift por parte de Sonar y su enfoque único y proactivo para mejorar la calidad y la seguridad del código de terceros.
Esta nueva oferta de seguridad avanzada de Sonar refuerza el conjunto de funcionalidades ya existentes, que seguirán estando disponibles en las herramientas de SonarQube. A continuación, describimos las principales características de SonarQube Advanced Security:
Análisis de composición de software (SCA):
Identificación de vulnerabilidades en dependencias de terceros: Ahora puedes rastrear, administrar y mitigar vulnerabilidades conocidas (incluidos los CVE) en dependencias de código abierto de terceros.
Cumplimiento de licencias: Garantiza que todos los componentes incorporados cumplan con las políticas de la organización en materia de licencias de software permitidas.
La capacidad de generar listas de materiales de software (SBOM): Incluye inventarios detallados que ayuden a los equipos a comprender, administrar e informar sobre la composición de su código.
SAST avanzado: Detecta vulnerabilidades ocultas en las interacciones de tu código con dependencias de terceros que las herramientas tradicionales no pueden detectar.
Estas características se suman a las capacidades de seguridad del código de SonarQube siguientes:
SAST: identifica debilidades y vulnerabilidades de seguridad en el propio código.
Análisis de vulnerabilidades: Descubrimiento de vulnerabilidades de inyección que abarcan varios archivos para garantizar que la entrada del usuario se utiliza de forma segura en toda la aplicación.
Detección de secretos: Escaneo automático de secretos codificados para prevenir la fuga de credenciales.
Análisis de infraestructura como código (IaC): Detecta errores de configuración de seguridad en tu infraestructura para garantizar entornos de producción seguros.
Informes de seguridad: Informes sobre el cumplimiento de estándares como OWASP Top 10, PCI DSS, STIG, CASA y CWE Top 25.
Configuración personalizada del motor de seguridad: Ajusta las configuraciones de seguridad según las necesidades específicas de la organización.
¡Hasta aquí este artículo sobre SonarQube Advanced Security! Recuerda que si tienes dudas sobre servicios o licencias de SonarQube puedes ponerte en contacto con nuestro equipo a través de este enlace.