质量门会在每次分析时告诉您您的代码是否已准备好发布。
1、质量门展示您的项目可发布性
(1)Bugs suck
提供有缺陷的软件会损害您的声誉和用户的信心。
(2)保护您的声誉
开箱即用,SonarQube清楚地表明您的提交是否干净,您的项目是否可发布,以及您的组织是否达到目标。
(3)获得明确的反馈
如果你没有达到目标,你会立即知道出了什么问题以及如何解决它。如果所有反馈都那么清晰和直接,那不是很好吗?
2、在整个开发周期中始终将质量放在首位
(1)质量门通过指标
您不会在 后一刻对质量问题感到惊讶。SonarQube在每次构建时为您提供清晰的可发布性指标。
(2)质量门失败指示器
质量门将团队围绕共同的质量愿景凝聚在一起。每个人都知道标准以及它是否得到满足。
(3)您需要的数据
推送通知和开放式API使与您的其他系统的集成变得轻松。从墙板到CI/CD集成,您可以轻松了解项目的可发布性。
(4)与你一起成长
Sane默认开箱即用,但您可以在团队更加强大时时提高标准。
3、项目中所有语言的 单一事实来源
SonarQube将相同的质量门应用于您项目中的所有语言,因此当它说“开始”时,真的没有什么能阻止您。
4、从首次承诺到企业监督
从拉取请求分析和装饰到执行概述,请密切关注您的可发布性。拉取请求分析为您提供了明确的合并到master的go/no-go。使用SonarQube作为审阅者,您(几乎)立即知道您的代码是否足以合并。
5、可视化团队成功
投资组合让您可以立即了解整个部门所有项目的健康状况,包括项目的平均可发布性。
使用静态应用程序安全测试 (SAST) 在代码审查中检测安全问题
1、代码安全不再是安全团队的领域
除了文字(DevSecOps、SDLC等)之外,真正的机会在于开发人员编写更安全的代码,使用SonarQube检测漏洞和安全热点,对其进行解释,并给出适当的后续步骤。
(1)取得所有权
在代码审查期间获得安全反馈是您了解更多信息并获得代码安全所有权的机会。
(2)IDE集成
在SonarQube中查找漏洞和安全热点,并在您的IDE中以SonarLint为指导进行修复。
(3)质量门
在您的质量门中执行漏洞标准和安全热点审查,以确保您只合并安全代码。
(4)保持安全
对问题及其影响的深入理解会导致更好的修复和更安全的应用程序。
2、以开发团队为首的合理模式解决安全问题
(1)安全热点—代码审查
安全热点是对安全敏感代码的使用。他们可能没问题,但需要人工审查才能确定。
随着开发人员编写代码并与安全热点进行交互,他们学习评估安全风险,同时更多地了解安全编码实践。
(2)安全漏洞—代码更改修复
安全漏洞需要立即采取行动。SonarQube提供了详细的问题描述和代码亮点,解释了您的代码存在风险的原因。
只需按照指导,签入修复程序并保护您的应用程序。
(3)OWASP前10名
OWASP Top 10代表了安全专业人士对Web应用程序 关键的安全风险的广泛共识。SonarQube提供多种语言的重要 OWASP前10名覆盖,以帮助您保护您的系统、数据和用户。
3、通过污点分析提供 大保护
(1)污点分析
确保用户提供的数据在到达关键系统(数据库、文件系统、操作系统等)之前进行清理有助于确保您的代码安全。污点分析在整个执行流程中跟踪不受信任的用户输入——不仅跨越方法,还跨越文件。
(2)重要语言的关键安全规则
获取与关键语言高度相关的规则,以帮助确保您的代码安全。
4、在企业级别跟踪安全合规性
专用报告可让您针对OWASP Top 10和CWE Top 25(所有三个版本:2021、2020和2019)跟踪代码安全性。SonarSource报告可帮助安全专业人员将安全问题转化为开发人员能够理解的语言。