SonarQube 8.8
GitHub Actions,服务器端JavaScript漏洞,安全报告等
GitHub Actions分支和PR新增分析
您可以在GitHub.com中通过GitHub Actions使用您的代码和CI。现在您也可以在此进行SonarQube分析。我们已经在GitHub Actions中为您添加了自动检测分支和PRs,还新增了一个教程帮助您进行你所需要的设置。
Bitbucket云支持增加了monorepos和失败的pipelines
现在,如果分析没有通过质量检验关,那么你的Bitbucket云管道就会失败。在企业版及以上版本中,我们增加了 monorepo PR分析,以便在分析时能够分开报告每个子报告的结果。
对于C, c++, c#和GitLab来说,项目创建变得更加清晰和容易了
帮助 .NET, C & C++ , GitLab 与 Jenkins更好地加载
如果您用C、c++或c#编程,分析新项目会变得更加容易,新的应用程序内部教程可以帮助您为这些语言配置项目分析。同样,对于GitLab项目,如果您使用Jenkins作为CI,也是一样的——有一个新的教程将帮助您顺利地加载新项目,从而让您更快地启动和运行分析!
SonarQube能调用主分支,正如你自己操作时那样
不再混淆存储库中命名为Develop或Main的分支和SonarQube中的“Master”。从现在开始,每个新项目的主要分支将在SonarQube中被称为与代码存储库平台中相同的东西。
更深入的IDE集成:SonarLint中的安全热点和污点漏洞
针对IntelliJ IDEA、Visual Studio、Eclipse和VSCode的SonarLint四个版本现在都可以对安全热点和污点分析漏洞进行调查(可在商业版本中获得)。无论使用哪一种,现在都可以从SonarQube的IDE中打开安全热点。在连接模式下,您还可以将SonarQube污点分析检测到的漏洞拉入SonarLint,以便进行更深入的调查和纠正。
JavaScript SAST可发现Node.js, Express.js服务器端漏洞
在这个版本中,我们做了很多工作来提高我们对Node.js和Express.js服务器端应用程序的JavaScript SAST分析的准确性。具体来说,该规则用于检测动态代码执行、OS命令执行、HTTP重定向和DOM更新中的注入漏洞,并且SSRF规则(服务器端请求伪造)现在能够识别到更容易受到攻击的输入(源)和输出(接收)。此外,分析现在可以理解arrays, Promises, ES6 classes and async/await。生成的结果会对代码的分析更加丰富和准确。
CWE Top 25, PDF导出的安全报告扩展
在这个版本中,安全报告得到了显著的扩展。首先,我们增加了CWE前25名的报告,包括2020年和2019年版本的名单。CWE前25名列出了与“过去两年经历的最常见和最具影响力的问题”相关的CWE。相比于2020年的清单,2019年版本的清单更加抽象。由于这两个版本都很有用,所以它们在SonarQube中都可以使用。
这个版本还有一个新的PDF版本的安全报告。除了概述之外,您还可以在您所选择的分支中找到易于打印的格式的OWASP Top 10、CWE Top 25 2020和SonarSource透视图。
OWASP Top 10 覆盖范围扩大到更多语言
作为我们为所有开发者提供代码安全性分析的持续信息的一部分,我们扩大了OWASP Top 10的范围包括:
- 9个Java新规则,包括JWT签名、不可预测的加密密码和临时文件创建
- 4条c#新规则,包括文件系统安全性和内容长度
- 5条Python新规则,包括JWT签名和CBC IV的随机性,以及对现有规则的改进。
PHP SAST分析理解Symphony路由
Symfony是最流行的PHP框架之一,在这个版本中,我们通过覆盖路由注释,填补了Symfony的空白。现在,Symfony应用程序中用户提供的输入将被正确识别并跟踪到任何控制器方法。
简化SAST配置
我们通过将SAST分析配置移动到UI中给它做了简化。现在,您可以为每个项目或全局配置自定义接收器、源和杀毒器。这种集中化可以便于您轻松管理通过污点分析来识别您的自定义框架。
扫二维码用手机看
更多资讯
AppScan常见问题及解答
Loadrunner参数化详解
LoadRunner Professional 版本 24.3 的新功能和增强功能
联系我们
联系我们
关注我们