SonarQube 9.6 的大主题是安全性：Kubernetes 的安全规则、AWS CDK 的 JavaScript 使用、对污点分析规则的更好描述、对常见 Java 库的更好理解——用于更多的污点分析真实阳性——以及自动检测本地验证器- 减少污点分析误报！

但这不是我们所做的全部工作。还有对 Azure Functions 的新支持、增量 Java PR 分析、新的 JS/TS React 规则（和规则改进）以及显着的 Ops 改进。

介绍：Kubernetes 的安全规则，以及 AWS 的更多安全规则

如果运行的环境不安全，你的代码真的安全吗？Kubernetes 的六项新安全热点规则意味着您不必怀疑。他们将标记需要仔细检查的配置，并帮助您了解可能存在的危险。

如果您改用 AWS S3 存储桶，JavaScript 分析会添加五个新的安全热点规则来帮助您避免常见的 CDK 陷阱，从而帮助基础设施设计人员为其用户提供基于安全稳定基础设施的云基础设施。我们还扩展了对 JavaScript Lambda 分析的支持，以涵盖 YAML 文件中定义的分析。

Java 开发人员现在也可以为 AWS 编码。七项新规则涵盖 Lambda 开发、AWS 客户端最佳实践、AWS 开发工具包的使用和访问密钥安全性。

Azure 函数规则和 C# 解构支持

说到云开发，我们添加了六个新的 Code Smell 规则，以帮助 C# 开发人员避免 Azure Function 开发中的常见陷阱。它们涵盖资源管理、错误处理和实体界面设计。我们还更新了 16 条规则以支持 C# 的元组解构器语法

Java PR 的增量分析的 DE EE DCE

现在你们一直在等待什么……更快的公关分析！在这个版本中，我们为 Java PR 引入了增量分析。底层机制是一个新的服务器端分析缓存。它允许我们将 PR 分析限制为仅更改的文件，同时仍执行彻底的分析。这些数字还没有真正出现，但是在一个测试项目中，分析的 Java 部分从 160 秒下降到 20 秒。现在我们已经证明了这些机制，您可以在未来的版本中寻找其他语言的版本。

问题 UI 提高了焦点，为污点分析增加了更多帮助

您会在此版本中注意到更新的问题 UI。SonarQube 9.5 引入了一个 UI，旨在帮助开发人员专注于当前问题，9.6 通过将所有问题操作移动到问题界面的顶部来进一步简化演示。

在商业版中，变化更进一步，在六种污点分析规则中增加了额外的内容，以帮助您更好地理解问题，并针对某些规则使用的框架专门定制了补丁说明。

污点分析范围，准确性增长的DE EE DCE

很少有人能够在使用现代框架的最佳实践的新项目中工作。即使你是少数幸运者之一，你可能仍然有一些本土的输入验证器，以确保用户数据是干净和安全的。这就是为什么我们更新了污点分析以自动识别自定义验证器，以减少误报并为您提供更好的整体体验。

同时，我们还通过将覆盖范围扩展到 100 个最常用的 Java 库来改进检测。这种对底层库的更好理解意味着在您的 Java 项目中进行更多的污染分析。

React：新规则，提高了 JS/TS 的准确性

七个新的特定于 React 的错误规则可帮助您找到无限循环、死代码、状态问题等。此外，还更新了 14 条其他规则，以提高 React 和 JSX/TSX 代码的准确性。

PCI DSS 报告 EE DCE

支付卡行业数据安全标准是适用于所有处理信用卡数据的组织的 12 项高级要求（总共 240 项低级要求）的列表。SonarQube 9.6 增加了标准 3.2 和 4.0 版本的报告。UI 中提供了这两个版本，安全报告 PDF 包括 4.0 版。

运维进展：SAML 安全性、令牌到期

作为 SonarQube 9.5 中添加令牌类型的后续，此版本通过添加设置令牌过期的功能来进一步保护令牌。令牌寿命可以由用户在令牌生成期间设置，也可以由管理员在全局范围内设置，管理员为新令牌选择最长寿命。

此外，使用 SAML 身份验证的组织可能希望使用请求签名和断言加密来更新其配置，SonarQube 9.6 新支持这两者。

最后，在这个版本中，我们用 Windows 上的 WinSW 和 MacOS 和 Linux 上的 `nohup` 替换了 Java Service Wrapper。

跟上新的语言版本

过去几个月发布了许多编程语言更新，SonarQube 9.6 在解析它们方面赶上了。Analysis 现在可以理解这些语言版本：

Scala 2.13.8 & 3.1.2

Ruby 3.1

Kotlin 1.7

Apex 54.12 EE DC

此外，SonarQube 9.6 正确解析了 Go 1.18，并且更新了 Go 规则以理解 Go 1.18 的语法添加，包括泛型。

关于苏州华克斯信息科技有限公司

联系方式：400-028-4008

                0512-62382981

专业的测试及安全产品服务提供商

Fortify | Webinspect | AppScan

SonarQube | 极狐GitLab 

LoadRunner | UFT（QTP) | ALM（QC）

Micro Focus 铂金合作伙伴

SonarQube中国总代理

极狐GitLab铂金级合伙伴

HCL中国合作伙伴