SonarQube 9.9 LTS - 规模、安全性、速度

SonarQube 9.9 LTS版本正式发布，新的功能介绍如下，如需下载试用，请联系我们。

更快的拉取请求分析

拉取请求 （PR） 分析显著提高了速度。通过实施增量分析和服务器端缓存，仅分析更改的文件。

无论编程语言如何，您的 PR 分析都将快得多——相同的高精度结果;只是交付得更快。例如，一个拥有大约 300，000 行代码的中型项目现在的分析速度是以前的两倍多。这意味着在 SQ 8.x 上分析原本需要 5 分钟的 PR，现在只需不到 2 分钟。

而且，对于基于 Git 的项目，我们还加快了您的第一个完整项目分析。任何使用 Git SCM 的人都会发现，随着初始责备数据的检索改进，他们的第一次分析平均速度提高了 60%，速度提高了 90%。例如，对于具有 300K 行代码的项目，主分支的第一次分析现在在不到 10 分钟的时间内完成，与以前的版本相比，速度提高了 80%。

安全的云原生应用程序

当您的应用程序迁移到云时，您不仅要保护源代码，还要保护所有相关的配置和部署。我们增加了对三个流行的云提供商的支持 - AWS，Google Cloud，Microsoft Azure - 及其底层技术：无服务器和SAM框架，AWS CDK，IaC与Terraform和CloudFormation，以及Kubernetes和Docker的容器化部署。

具有 TerraForm 和 Cloudformation 的基础架构即代码 （IaC）

使用 IaC 预配云资源？我们添加了许多检测不安全部署配置的新规则。

对于那些在Microsoft Azure和Google Cloud上进行开发的用户，我们为Azure提供了16个新的Terraform规则，为GCP提供了20个新的Terraform规则。 

对于那些在 AWS 上进行开发的用户，我们提供了 26 条 CloudFormation 规则和 24 条 Terraform 规则。

Amazon Serverless/SAM Frameworks （Lambdas） & CDK

AWS Lambda 拥有越来越多的关键核心业务逻辑，可以成为许多注入攻击的入口点。SonarQube 为 AWS Lambda 和 AWS CDK 提供了新规则，可帮助您编写和部署更安全的云原生应用程序。

AWS Lambdas：

SonarQube分析在YAML文件中内联定义的JavaScript lambdas以查找安全热点。在商业版本中，SonarQube 通过检测全套注入漏洞来保护您的 lambda，从而保护您的云应用程序免受恶意用户数据的侵害。对于使用 AWS Serverless Application Model （SAM）/CloudFormation 或 Serverless 配置的 AWS Lambda，SonarQube 能够将全方位的污点分析规则应用于用 Python、JavaScript/TypeScript 编写并在 CF、.yml 或无服务器文件中声明的 AWS lambda 逻辑。

AWS CDK：

对于那些使用 JavaScript/TypeScript 或 Python 描述其 AWS CDK 的 AWS 基础设施的用户，SonarQube 现在提供了涵盖权限和访问控制、可追溯性、加密、公共访问等的新规则，允许您安全地使用 AWS CDK。

适用于扩展组织的企业级功能

我们在此 LTS 中添加了许多与访问管理、管理、治理和报告相关的功能，以帮助您管理 SonarQube 实例和源代码资产组合的安全性和管理。

报告，报告和更多报告！

新的和改进的安全性与合规性报告、项目和项目组合报告以及用于内部和外部合规性的 PDF 报告。

新的安全性和合规性报告涵盖支付卡行业数据安全标准（PCI DSS）v3.2和v4.0以及OWASP应用程序安全验证标准（ASVS），因此组织可以根据这些重要的行业标准衡量其合规性。此外，CWE Top 25 和 OWASP Top 10 2021 报告可让您跟踪代码库针对已识别威胁的安全性。

新的项目级报告，因此经理现在可以在交付前定期清楚地监控其项目的状态和质量。现在，任何人都可以通过电子邮件订阅以接收项目状态PDF。

重新设计项目组合演示文稿，以将重点放在仪表板 UI 和 PDF 报告中新代码的状态上。在SonarQube 9.9 LTS中，经理和开发人员将分享对其项目健康状况的全新统一理解，以实现更丰富，更高效的协作。

还有投资组合支持和指标徽章！经理可以创建新的项目组合来跟踪项目分支并跟踪同一项目中的多个分支。从社区版开始，用户可以通过公共和私人项目的指标徽章来展示他们的项目运行状况和稳定性。

操作和管理SonarQube更容易

审计日志记录、安全令牌处理、改进的用户管理和用户通信使 SonarQube 实例的管理变得更加容易。

审核日志记录允许管理员使用易于分析的日志跟踪安全敏感型更改，例如用户、项目和权限的更新，以便轻松了解谁在何时更改了什么。

安全令牌处理管理员现在可以通过全局设置新令牌的最长令牌生存期来强制令牌过期。此外，您现在还可以创建项目令牌。

用户管理 SCIM 集成，用于同步用户从 Okta（SAML） 系统停用，以自动停用用户记录并使令牌失效，以消除任何潜在的安全漏洞。

通信和登录指南允许管理员向用户提供自定义消息，例如，提供有关使用哪些凭据进行登录的指导。管理员还可以显示有关服务器停机时间、维护等的大量通信。

实例管理更容易。您可以使用 Kubernetes（仅限数据中心版）部署 SQ 集群，并增加对所有版本的 Prometheus 监控的支持。

从社区版开始，我们增加了对 SAML 请求签名和断言加密的支持，以实现安全的 SAML 事务，以便组织可以委派身份验证并简化单点登录。管理员现在有一个按钮来测试配置，并通过我们大大改进的文档获取有关如何配置 SAML 的更多信息。最后但并非最不重要的一点是，管理员现在还可以将身份验证委托给Bitbucket Cloud。

UI改进，更丰富的教育指导和新的集成

如果您不知道如何修复它们，那么知道代码中存在问题是不够的。我们添加了丰富的教育内容，使大多数污点分析规则易于理解，并与您的特定代码和框架相关（在开发人员版及更高版本中可用）。

我们还在UI中添加了清晰度和重点，以提高整体可访问性，目标是更接近WCAG合规性。

在社区版中，我们添加了 Bitbucket 管道和 GitHub 操作的功能，以触发分析和质量门状态。加上对Bitbucket云的全面集成支持，现在包括项目入职。

使用 CodeMagic CI/CD？我们现在支持分支和 PR 的检测，因此开发人员可以在他们选择的 DevOps 平台中获得 SonarQube 的优势。

许多新规则，包括移动版 Kotlin。

编写安卓应用程序？SonarQube 9.9 LTS 带来了新的 Kotlin 规则，用于检测不安全的网络通信、有问题的加密和数据安全性。商业版包括各种适用于 Java 的 Android 污点分析规则，以确保符合移动应用安全验证标准 （MASVS） 数据存储和隐私要求。现在，您的应用程序在提交到 Google Play 商店之前，从开发中就安全了。

您还可以从编程语言的几个新规则中受益。如果你用 JavaScript 编程，我们添加了新的 React 规则来查找无限循环、死代码和规则，以编写更好的 Mocha 和 Chai 测试。对于C++编程，我们添加了支持 C++ 20 个协程的新规则，并改进了常用编译器的精度和分析配置。用 Python、Java、JS/TS 或 PHP 编写正则表达式？我们强大的规则可帮助您编写高效、无错误的正则表达式。对于 Java，我们添加了新规则以防止运行时错误和冲突，现在支持 Java 19 解析。Java用户可以看到他们的第一个项目分析的显着提升 - 平均30%和高达60%。这只是一瞥而已！访问我们的规则存储库，查看每种语言的全面覆盖范围。

“编程时清洁”，“清洁代码”状态的口头禅

我们的使命深深植根于这样一个事实，即“清洁即代码”方法是组织达到“清洁代码”状态的最可持续方式。我们希望每个组织都能实现这一目标。这就是我们微调质量门 （QG） 工作流程的原因，以帮助您练习“编程即清理”。现在可以轻松识别和修复不符合“代码即清洁”的质量门。

编写干净代码的更流畅体验

从您最喜欢的 SONARLint IDE开始，到开发工作流程的每个阶段，我们添加了许多增强功能，以简化干净的代码交付。

特别是，我们对SonarLint中的简单连接模式设置进行了改进，添加了更新以提供从SonarQube到连接的IDE的质量配置文件的实时同步，并增加了项目的分支感知。我们还添加了检测云机密的新规则和快速修复，以便在您使用 SonarLint 在 IDE 中编码时即时自动修复某些问题。

关于苏州华克斯信息科技有限公司

联系方式：400-028-4008            0512-62382981

专业的测试及安全产品服务提供商

Fortify | Webinspect | AppScan | SonarQube | 极狐GitLab 

LoadRunner | UFT（QTP) | ALM（QC）

 Micro Focus 铂金合作伙伴 | SonarQube中国总代理 

极狐GitLab铂金级合伙伴  | HCL中国合作伙伴