Die neue, leistungsstarke Tiefenanalysefunktion von Sonar findet versteckte Sicherheitsprobleme auf Code-Ebene

GENF--(BUSINESS WIRE)--Sonar, der führende Anbieter von Clean Code-Lösungen, gab heute eine bedeutende Weiterentwicklung seines Clean-Code-Angebots bekannt: Entwickler können jetzt automatisch Code-Sicherheitsprobleme erkennen und beheben, die durch Interaktionen zwischen Benutzerquellcode und Open-Source-Bibliotheken von Drittanbietern entstehen.

Die neue erweiterte Erkennung wird als Deeper SAST bezeichnet und behebt Probleme, die herkömmliche SAST-Tools übersehen, weil sie nicht den Abläufen innerhalb des Bibliothekscodes folgen. Herkömmliche SAST-Anbieter analysieren Benutzeranwendungscode. Diese Tools scannen nicht den kombinierten Code und kennzeichnen Bibliotheken nach einem einfachen Schema, wobei sie den Kontext und die Verwendung innerhalb der Bibliothek ignorieren. Das hat zur Folge, dass Bibliotheksfunktionen als Black Boxes gelten und Unternehmen im Unklaren darüber gelassen werden, ob sie in einem bestimmten Kontext wirklich sicher sind. Darüber hinaus unterstützen diese Tools in der Regel nur eine Handvoll gängiger Frameworks und erfordern häufig Vorabkonfigurationen für die Einrichtung. All dies führt dazu, dass Sicherheitsprobleme, die durch die besondere Handhabung von Open-Source-Bibliotheken Dritter entstehen, unerkannt bleiben.

„Code ist Code, unabhängig davon, ob er von einem Entwickler in Ihrem Team geschrieben wurde oder Teil einer Bibliothek ist, die ein bestimmtes Problem löst. Die beiden unterschiedlichen Ansätze haben mich immer gestört, und ich bin begeistert, dass wir jetzt alle Codes zugleich und auf die gleiche Weise analysieren können, und dadurch ein Problem lösen, das als unlösbare Aufgabe galt“, sagte Olivier Gaudin, CEO und Mitbegründer von Sonar. „Mit den Deeper SAST-Erweiterungen unserer Clean Code-Lösung können Unternehmen diese Schwachstellen entdecken und sie schnell beheben, noch während der Code entwickelt wird.“

Sonar schließt die Lücke des herkömmlichen SAST durch seine hochauflösende Analyse der Interaktionen des Benutzerquellcodes mit externen Abhängigkeiten, und das alles, ohne eine spezielle Konfiguration zu benötigen und inkrementelle Kosten zu verursachen. Diese tiefer gehende SAST-Innovation unterstützt das Unternehmensziel von Sonar, Organisationen in die Lage zu versetzen, die Qualität von Clean Code zu erreichen – Code, der konsistent, zielgerichtet, anpassungsfähig und verantwortungsbewusst gestaltet ist. Wenn der Code über diese Eigenschaften verfügt, wird die Software zuverlässig, wartbar und sicher.

„Es wird geschätzt, dass Bibliotheken von Drittanbietern in über 90 % der Anwendungen genutzt werden und mit dem darin enthaltenen Code interagiert wird, aber die meisten SAST-Tools informieren Entwickler nicht, welche Abhängigkeiten ihren Code angreifbar machen. Sicherheit ist geschäftskritisch, und je mehr Probleme Sie finden und beheben bevor daraus ein Schaden entsteht, desto besser wird es Ihrem Unternehmen ergehen“, sagte Rik Turner, Senior Principal Analyst für Cybersicherheit bei Omdia. „Das ist die Essenz der proaktiven Sicherheitswelle, die wir im gesamten Cyber-Sektor sehen: Finden und Beheben, bevor es ausgenutzt wird.“

Die Deeper SAST-Funktionalität von Sonar ist ohne zusätzliche Kosten in den kommerziellen Versionen von SonarQube (selbstverwaltet) und SonarCloud (cloudbasiert) verfügbar – branchenführende Kontroll-Tools mit statischer Code-Analyse, die die Codebasis kontinuierlich mithilfe von Quality Gates überprüfen und analysieren, um festzustellen, ob der Code den festgelegten Standards für Entwicklung und Produktion entspricht. Deeper SAST unterstützt derzeit die Programmiersprachen Java, C# und TypeScript und deckt Tausende der wichtigsten und am häufigsten verwendeten Open-Source-Bibliotheken ab, einschließlich ihrer anschließenden (transitiven) Abhängigkeiten.

Erreichen eines Clean-Code-Status

Sonar ermöglicht es Entwicklungsteams, Clean Code zu schreiben, indem es ihnen die richtigen Tools und Best Practices zur Verfügung stellt, sodass sie weniger Zeit für die Behebung von Problemen brauchen und mehr Zeit für die Erreichung der Liefer- und Geschäftsziele zur Verfügung haben. Durch die Kombination der Sonar-Lösung mit der Clean as You Code-Methodik des Unternehmens – festen Regeln, um neuen, hinzugefügten oder bearbeiteten Code sauber zu halten – und der Schulungsanleitung für Code mit dem Titel „Learn as You Code“, können Entwickler Probleme schneller beheben und abschließen oder Code verbessern. Das fördert die berufliche Weiterentwicklung und die Teambindung. Heute nutzen über sieben Millionen Entwickler Sonar.

Sonar engagiert sich aktiv in seinem Ökosystem und seinen Kunden-Communities und unterhält außerdem Partnerschaften mit mehreren Universitäten für Sicherheitsforschungsprojekte sowie mit Open-Source-Software- und Start-up-Communities. Darüber hinaus verfügt Sonar über ein engagiertes Team von Sicherheitsforschern, die ausnutzbare Zero-Day-Schwachstellen in Open-Source-Software finden und verantwortungsvoll offenlegen. Diese Erkenntnisse dienen als Inspiration für neue Sicherheitsregeln und Erkennungsmechanismen, um Schwachstellen zu finden.

Erfahren Sie mehr über unsere Deeper SAST-Innovation und Sonar Solution (SonarQube, SonarCloud, SonarLint). Treffen Sie Sonar-Experten auf der Black Hat USA, Booth Nr. 2760, vom 8. bis 10. August.

Über Sonar

Mit Sonar können Entwickler und Organisationen systematisch den Status „Clean Code“ erreichen, sodass der gesamte Code für die Entwicklung und Produktion geeignet ist. Durch die Anwendung der Methodik „Clean as You Code“ werden Unternehmen ihrer technischen Verantwortung gerecht, mindern Gefahren, und schöpfen auf absehbare und nachhaltige Weise mehr Wert aus ihrer Software.

Die Open-Source- und kommerzielle Sonar-Lösung – SonarLint, SonarCloud, und SonarQube – unterstützt über 30 Programmiersprachen, Frameworks und Infrastrukturtechnologien. Mit mehr als 400.000 Organisationen auf der ganzen Welt, die darauf vertrauen, mehr als eine halbe Billion Zeilen Code zu bereinigen, ist Sonar ein integraler Bestandteil für die Bereitstellung besserer Software.

Für weitere Informationen besuchen Sie Sonar unter: https://www.sonarsource.com/company/about/

Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.