15 Septiembre 2025

SonarQube Advanced Security ya está disponible en SonarQube Cloud

por Belén Casanovas

La solución de análisis SAST y SCA ya está disponible para la versión Cloud.

Sonar ha anunciado la disponibilidad general de SonarQube Advanced Security para SonarQube Cloud. Esta nueva funcionalidad, que ya estaba disponible como un módulo adicional en SonarQube Server, permite a los desarrolladores identificar y corregir problemas de calidad y de seguridad de tu propio código, el generado por inteligencia artificial (IA) y dependencias de terceros.

Gracias a esta actualización, las organizaciones ahora cuentan con una solución completamente integrada que combina análisis SAST avanzado y SCA.

Un cambio en la gestión de la seguridad del código

El desarrollo moderno depende cada vez más de bibliotecas de terceros y generación de código mediante IA. Esto genera desafíos para mantener tanto la calidad como la seguridad del código sin ralentizar la entrega de software.

Con SonarQube Advanced Security, los equipos pueden concentrarse en los problemas que realmente importan gracias a la confirmación de falsos positivos, contexto sobre la explotabilidad real de vulnerabilidades y recomendaciones prácticas cuando no existe una solución inmediata.

Qué ofrece SonarQube Advanced Security

Esta funcionalidad está disponible para las ediciones SonarQube Server (Enterprise y Data Center) y para SonarQube Cloud Enterprise, y amplía las capacidades de análisis para proteger toda la cadena de suministro de tu software. A continuación, te explico algunas de sus características:

Análisis SCA (Software Composition Analysis)

El análisis de dependencias de código abierto permite:

  • Detección de vulnerabilidades: Identifica las vulnerabilidades conocidas (CVE) registradas en bases de datos públicas (como NVD) tanto en sus dependencias directas (bibliotecas que incluye explícitamente) como en las de terceros (bibliotecas de las que dependen sus dependencias).

  • Cumplimiento de licencias: Los componentes de código abierto incluyen licencias que determinan cómo se pueden usar. Incumplir estas licencias puede generar importantes problemas legales y de cumplimiento.

  • Generación de SBOM: Genera automáticamente una Lista de Materiales de Software (SBOM) en formatos estándar como CycloneDX y SPDX.

SAST avanzado (Static Application Security Testing)

El SAST avanzado de SonarQube aborda un problema diferente, a menudo pasado por alto: las vulnerabilidades que surgen de la interacción entre su código y el código dentro de las bibliotecas de terceros. El SAST avanzado de SonarQube supera esta limitación. Amplía el potente motor de análisis de contaminación de SonarQube para rastrear los flujos de datos que entran y salen del código de bibliotecas de terceros.

Beneficios clave para los equipos de desarrollo

  • Plataforma unificada de calidad y seguridad del código.

  • Alta precisión y velocidad de análisis, ideal para pipelines CI/CD.

  • Integración directa en IDE y revisión automática en pull requests.

  • Soporte para cumplimiento normativo con OWASP, PCI DSS, CWE y STIG.

  • Remediación guiada y recomendaciones accionables.

Con estas capacidades, los equipos pueden desarrollar software seguro y de calidad de manera más eficiente y con menor riesgo.

Otras novedades en SonarQube Cloud y Server 2025.3

En el mes de mayo Sonar lanzó la versión de SonarQube Server que, junto a SonarQube Advanced Security consolidó una actualización esencial para organizaciones que buscan proteger toda su base de código sin perder velocidad ni visibilidad. Te recuerdo aquí algunas de las funcionalidades.

  • Detección de secretos ampliada con más de 400 patrones.

  • Soporte para nuevos lenguajes como Go y Kotlin.

  • Informes de seguridad alineados con CWE Top 25 2024 y OWASP Top 10 Mobile.

Preguntas frecuentes sobre SonarQube Advanced Security

¿Qué ediciones incluyen Advanced Security?

SonarQube Advanced Security está disponible para SonarQube Server Enterprise o Data Center Edition 2025.3 y posteriores, y SonarQube Cloud Enterprise

¿Cómo se gestiona la seguridad de dependencias externas?

Mediante análisis SCA, que valida riesgos y ofrece recomendaciones verificadas para cada dependencia.

¿Se integra con pipelines de CI/CD?

Sí, permite análisis rápidos y precisos sin ralentizar la entrega de software.

¿Es necesario usar otras herramientas de seguridad?

No. Todo se gestiona desde SonarQube, eliminando la necesidad de herramientas adicionales y simplificando la gestión de calidad y seguridad del código.

¿Por qué implementar SonarQube Advanced Security en tu equipo?

Con SonarQube Advanced Security Cloud, puedes proteger toda la cadena de suministro de software mientras mantienes altos estándares de calidad de código. El análisis SAST avanzado y el análisis de dependencias permiten a los equipos centrarse en lo realmente importante: entregar software seguro, fiable y eficiente.

Si quieres proteger tu código y optimizar tus procesos de desarrollo en la nube, contacta con nuestro equipo y descubre cómo implementar SonarQube Advanced Security en tu organización.

Comparte en     Suscríbete