Sonar ha anunciado que incluirá funciones de Software Composition Analysis (SCA) en las soluciones de SonarQube Server y SonarQube Cloud. El equipo de excentia está en Early Access gracias a que somos Gold Partners de Sonar y a que Antonio Calero es Sonar Navigator. Así que, a continuación, te vamos a explicar qué es el SCA y cómo te va a beneficiar esta funcionalidad cuando esté añadida en SonarQube.
El Análisis de Composición de Software (SCA) es un proceso automatizado dentro del ciclo de desarrollo de software que identifica, analiza y gestiona componentes del código open source dentro de las aplicaciones. El objetivo es reducir los riesgos y garantizar la seguridad de los desarrollos.
En el anuncio del lanzamiento de SonarQube Advanced Security vimos cómo entre sus funcionalidades estaba la del SCA. A continuación, te dejamos una infografía de Sonar donde resumían las características principales de este lanzamiento:
En la Comunidad de Sonar publicaron que esta nueva funcionalidad estará disponible a partir de mayo de 2025 para las instancias de SonarQube Server y más adelante para las instancias de SonarQube Cloud. Faltará saber cómo van a añadir el SCA en las soluciones de SonarQube y en qué ediciones.
Además, te recordamos que a finales del 2024 Sonar anunció la adquisición de Tidelift. El objetivo era integrar esta solución para “reducir el riesgo del software open source”, ya que amplía el alcance de las soluciones de Sonar para analizar bibliotecas open source, las del código escrito por desarrolladores y las del código generado por la IA.
A continuación, te vamos a contar las funcionalidades clave del SCA y que, por tanto, se incluirán en las soluciones de SonarQube Server y SonarQube Cloud.
Detección de vulnerabilidades (CVE): Las herramientas de SCA buscan vulnerabilidades. Estas vulnerabilidades se identifican con CVE únicos y se almacenan en bases de datos públicas como la Base de Datos Nacional de Vulnerabilidades (NVD). Cuando se detecta una vulnerabilidad, las herramientas de SCA proporcionan información detallada sobre: nivel de graverdad, parches disponibles, versiones afectas, etc.
Cumplimiento de la licencia: El SCA ayuda a identificar todas las licencias en uso, marca las incompatibles, garantizar el cumplimiento de las mismas y gestionan el mantenimiento de inventario de licencias.
Gestión de dependencias: Las funcionalidades SCA permite monitorizar el estado de salud de una dependencia, sugerir actualizaciones de versión e identificar dependencias directas y transitivas.
Lista de materiales de software (SBOM): El SCA permite generar un SBOM que incluye: nombres y versiones de los componentes, información de licencias, vulnerabilidades conocidas, relaciones y dependencias de componentes e información de origen y proveedor.
Si Sonar incluye el SCA en SonarQube Server y SonarQube Cloud… ¿Qué beneficios vas a tener? Pues te los contamos a continuación…
Reduce los riesgos de seguridad.
Mejora la eficiencia de los equipos de desarrollo.
Reduce costes.
Mejora la calidad y seguridad del código.
¡Hasta aquí este artículo sobre el SCA! Nada más podamos compartir más información sobre esta nueva funcionalidad, lo haremos en nuestro blog. Si necesitas más información sobre SonarQube puedes ponerte en contacto con nuestro equipo a través de este formulario. ¡Estaremos encantados/as de atenderte!