开发人员拥有代码安全性

开发人员可以通过静态应用程序安全性测试（SAST）来控制代码安全性，以支持更多语言，更多规则，更好的检测和改进的工作流程。

无与伦比的SAST精度-现在包括JavaScript等

安全漏洞检测已随着新语言，新规则和改进的检测引擎而大大扩展，从而在Java，C＃，PHP，Python，JavaScript，TypeScript，C和C ++的安全分析中带来了无与伦比的精度和性能。除了极大地扩展了分析的广度和深度之外，我们还扩大了开发人员对这些发现的访问权限。在IDE中，SonarLint，SonarQube本身以及商业版的PR装饰中都提出了问题。

改进之处包括：

·        为Python，JavaScript，TypeScript，C和C ++添加了SAST分析

·        OWASP对Java和C＃的十大全面介绍，对其他语言的重要介绍

·        用于C和C ++的POSIX函数中的缓冲区溢出检测

商业版本添加了污点分析规则以查找：注入缺陷，损坏的访问控制，XSS和不安全的反序列化，并能够以连接模式将这些污点分析问题同步到SonarLint中。

安全热点审查使开发人员可以编写更安全的代码

安全热点通过将注意力集中在对安全敏感的代码段上，并为开发人员提供诊断潜在影响的工具，来帮助开发人员编写更安全的代码。我们已经扩大了安全热点语言的范围，以包括TypeScript，C和C ++。现在，您具有用于对安全性热点进行分类的专用界面，只需单击即可通过SonarLint在IDE中打开它们。

报告和配置提高了清晰度和准确性  EE DCE

安全报告包括CWE Top 25 2019和CWE Top 25 2020，以及PDF格式的顶级报告下载。而且，如果您使用本地框架，则污点分析配置将为您提供一个UI，以设置您本地的源，接收器和消毒剂，以提高整体精度，并最终提高代码安全性。

在云端？本地？您的平台已覆盖！

无论您的代码是驻留在云中还是本地，SaaS或自我管理中，代码存储库平台集成都可以帮助您更快地编写更好的代码。从最初的项目导入到因失败的质量门而导致的管道失败，我们几乎涵盖了所有人。

简化项目设置

简化的项目设置为您提供了一个易于使用的界面，可以在任何代码存储库平台上导入项目：GitHub，GitLab，AzureDevOps和Bitbucket；本地和云中。是的，全部八个！

导入项目后，教程将引导您完成在GitHub Actions，Jenkins，GitLab CI或Azure DevOps Pipelines中进行分析的设置；包含针对.NET，C，C ++和Objective-C项目的特定于语言的教程。

现在，无论您使用哪个配置项，都可以使管道失败以进行失败的分析。

PR analysis on steroids DE EE DCE

Code RepositoryPlatform集成并不会停止。我们支持对GitHub，Bitbucket，Azure DevOps和GitLab的请求请求修饰；本地和云中。是的，全部八个！企业版在monorepos中添加了PR装饰。

不只是装饰 Developer Edition还为大多数工作流程带来了自动的分支和PR配置：Jenkins，GitHub Actions，Gitlab CI，Azure Pipelines和Bitbucket Pipelines。

操作SonarQube比以往更容易

我们使SonarQube的运行比以往更轻松，更安全。SonarQube已按照美国国防部的标准进行了安全加固（即经过STIG加固），在Docker Hub和国防部的Iron Bank中每个版本都有一个Docker映像。加上用于Kubernetes支持的Helm图表，使SonarQube的部署比以往更加容易。

通过支持数据库热备份，日常维护也变得更加容易。通过升级过程中的逐步可用性，升级比以往任何时候都更加容易。现在，即使在未完成索引编制之前，SonarQube仍可用于分析和有限的浏览。

是时候让Python开发人员加入SonarQube

过去，Python的支持并不总是我们关注的重点，而LTS则一劳永逸地改变了这一点。我们竭尽所能为Python提供一流的静态代码分析，这使Python开发人员可以轻松地采用SonarQube。

该LTS添加了深入的分析，以捕获开发人员期望的棘手的Bug和漏洞，并具有SonarQube标准的合理默认值，高性能和最小配置。为了在所有语言结构，框架和类型中正确跟踪问题，我们已经为该语言的3.9版提供了Python支持。对于刚从其他工具过渡过来的团队，可以轻松导入Pylint和Flake8报告，还可以编写自定义规则。

最重要的是，在商业版本中还支持污点分析规则，以检测污点分析漏洞，例如注入缺陷。

C ++带来了开发人员想要的规则和性能

全面介绍了C ++核心准则和广泛的C ++17特定规则，我们使遵循现代最佳实践变得容易。而且，如果您的商店使用多个标准版本，则管理质量配置文件也将变得很容易：为您使用的所有版本启用规则，我们将根据项目编译到的标准版本来激活它们。此外，我们对分析性能进行了一些改进，并增加了对各种附加编译器的支持。

这是对以安全为中心的规则的显着扩展的补充，其中包括检测POSIX函数中的缓冲区溢出。

最后，Community Edition用户可以在新引入的CLion SonarLint以及VisualStudio的SonarLint中免费使用C ++分析。

编码时干净，最佳实践走在前列

作为我们帮助每个开发人员每天编写更好代码的持续使命的一部分，我们对业界经常忽略的元素表示了热爱。首先，您将找到一个重写的项目主页。新界面将新代码的质量和安全性放在首位和居中，可帮助您更好地专注于代码清洗。其次，我们在Java，PHP和C＃中添加了规则，以帮助您正确编写测试。最后，我们使应用程序可用于所有商业版本，以便更多团队可以监视在一个聚合的综合项目中一起交付的项目的质量。

迄今为止最安全的LTS！

我们不仅关心代码的安全性，还关心整个SonarQube环境的安全性。这就是我们这样做的原因：

·        对SonarQube本身的构建以及我们的内部构建管道进行了额外的加固

·        SonarQube中的库加载仅限于SonarSource提供的库

·        有限的插件只能通过API访问核心功能

·        向插件市场添加了其他控件

您还将找到简单但有效的新保护措施，例如强制SonarQube管理员更改默认管理员凭据。

关于苏州华克斯信息科技有限公司

联系方式：400-028-4008

                0512-62382981

专业的测试及安全产品服务提供商

Fortify | Webinspect | AppScan | SonarQube 

LoadRunner | UFT（QTP) | ALM（QC）

Micro Focus （原HPE）金牌合作伙伴

SonarQube中国总代理

HCL中国合作伙伴