Sonar ha anunciado la disponibilidad general de SonarQube Advanced Security para SonarQube Cloud. Esta nueva funcionalidad, que ya estaba disponible como un módulo adicional en SonarQube Server, permite a los desarrolladores identificar y corregir problemas de calidad y de seguridad de tu propio código, el generado por inteligencia artificial (IA) y dependencias de terceros.
Gracias a esta actualización, las organizaciones ahora cuentan con una solución completamente integrada que combina análisis SAST avanzado y SCA.
El desarrollo moderno depende cada vez más de bibliotecas de terceros y generación de código mediante IA. Esto genera desafíos para mantener tanto la calidad como la seguridad del código sin ralentizar la entrega de software.
Con SonarQube Advanced Security, los equipos pueden concentrarse en los problemas que realmente importan gracias a la confirmación de falsos positivos, contexto sobre la explotabilidad real de vulnerabilidades y recomendaciones prácticas cuando no existe una solución inmediata.
Esta funcionalidad está disponible para las ediciones SonarQube Server (Enterprise y Data Center) y para SonarQube Cloud Enterprise, y amplía las capacidades de análisis para proteger toda la cadena de suministro de tu software. A continuación, te explico algunas de sus características:
El análisis de dependencias de código abierto permite:
Detección de vulnerabilidades: Identifica las vulnerabilidades conocidas (CVE) registradas en bases de datos públicas (como NVD) tanto en sus dependencias directas (bibliotecas que incluye explícitamente) como en las de terceros (bibliotecas de las que dependen sus dependencias).
Cumplimiento de licencias: Los componentes de código abierto incluyen licencias que determinan cómo se pueden usar. Incumplir estas licencias puede generar importantes problemas legales y de cumplimiento.
Generación de SBOM: Genera automáticamente una Lista de Materiales de Software (SBOM) en formatos estándar como CycloneDX y SPDX.
El SAST avanzado de SonarQube aborda un problema diferente, a menudo pasado por alto: las vulnerabilidades que surgen de la interacción entre su código y el código dentro de las bibliotecas de terceros. El SAST avanzado de SonarQube supera esta limitación. Amplía el potente motor de análisis de contaminación de SonarQube para rastrear los flujos de datos que entran y salen del código de bibliotecas de terceros.
Plataforma unificada de calidad y seguridad del código.
Alta precisión y velocidad de análisis, ideal para pipelines CI/CD.
Integración directa en IDE y revisión automática en pull requests.
Soporte para cumplimiento normativo con OWASP, PCI DSS, CWE y STIG.
Remediación guiada y recomendaciones accionables.
Con estas capacidades, los equipos pueden desarrollar software seguro y de calidad de manera más eficiente y con menor riesgo.
En el mes de mayo Sonar lanzó la versión de SonarQube Server que, junto a SonarQube Advanced Security consolidó una actualización esencial para organizaciones que buscan proteger toda su base de código sin perder velocidad ni visibilidad. Te recuerdo aquí algunas de las funcionalidades.
Detección de secretos ampliada con más de 400 patrones.
Soporte para nuevos lenguajes como Go y Kotlin.
Informes de seguridad alineados con CWE Top 25 2024 y OWASP Top 10 Mobile.
SonarQube Advanced Security está disponible para SonarQube Server Enterprise o Data Center Edition 2025.3 y posteriores, y SonarQube Cloud Enterprise
Mediante análisis SCA, que valida riesgos y ofrece recomendaciones verificadas para cada dependencia.
Sí, permite análisis rápidos y precisos sin ralentizar la entrega de software.
No. Todo se gestiona desde SonarQube, eliminando la necesidad de herramientas adicionales y simplificando la gestión de calidad y seguridad del código.
Con SonarQube Advanced Security Cloud, puedes proteger toda la cadena de suministro de software mientras mantienes altos estándares de calidad de código. El análisis SAST avanzado y el análisis de dependencias permiten a los equipos centrarse en lo realmente importante: entregar software seguro, fiable y eficiente.
Si quieres proteger tu código y optimizar tus procesos de desarrollo en la nube, contacta con nuestro equipo y descubre cómo implementar SonarQube Advanced Security en tu organización.