SonarQube and Java
SonarQube מציע סריקת קוד סטטי (SAST) של מעל 25 שפות. אחת הפופולריות ביניהן היא Java .
הכלי יודע לתמוך ב -4 היבטים:
Bugs, Security Vulnerability, Security Hotspot, Code Smell וכו',
תוכן עניינים
Bugs
-
- Loops should not be infinite
-
- Null pointers should not be dereferenced
-
- Conditionally executed blocks should be reachable
Security Vulnerability
-
- HTTP response headers should not be vulnerable to injection attacks
-
- I/O function calls should not be vulnerable to path injection attacks
-
- I/O function calls should not be vulnerable to path injection attacks
Security Hotspot
-
- Disabling Spring Security's CSRF protection is security-sensitive
-
- Changing or bypassing accessibility is security-sensitive
-
- Creating cookies without the "secure" flag is security-sensitive
Code Smell
-
- Increment (++) and decrement (–) operators should not be used in a method call or mixed with other operators in an expression
-
- Collapsible "if" statements should be merged
-
- "if … else if" constructs should end with "else" clauses
Java Coverage of OWASP TOP 10 2017
SonarQube מספקת דו"ח סטטוס עדכני של מצב הקוד שלך ביחס ל- 10 החולשות הקריטיות ביותר,
כפי שהוגדרו ע"י הסטנדרט OWASP העולמי.
| Security Vulnerability |
Security Hotspot |
||
|---|---|---|---|
| A1 | Injection |  |
|
| A2 | Broken Authentication | |
|
| A3 | Sensitive Data Exposure | |
|
| A4 | XML External Entities (XXE) | |
– |
| A5 | Broken Access control | |
|
| A6 | Security misconfigurations | |
|
| A7 | Cross Site Scripting (XSS) | |
|
| A8 | Insecure Deserialization | |
|
| A9 | Using Components with known vulnerabilities | |
– |
| A10 | Insufficient logging and monitoring | – | |
לתשומת לב: תמיכה בדו"חות Security ו – OWASP קיימת רק במהדורת SonarQube Enterprise .
חברת ALM-Toolbox היא המפיצה הרשמית היחידה של חברת SonarSource (יצרנית SonarQube , SonarCloud ו- SonarLint) בישראל ובמדינות נוספות, ומספקת תמיכה, הדרכות, יעוץ, שירות מנוהל ורשיונות ל- SonarQube ולמגוון כלי פיתוח ו- DevOps משלימים. לפרטים נוספים פנו אלינו sonarqube@almtoolbox.com או טלפונית 072-240-5222
קישורים רלבנטים:
- אתר SonarQube ישראל
- הקלטת וובינר – הסבר על SonarQube & Code Security (עברית)
- הקלטת וובינר עם סיפור לקוח: SonarQube @ Dell
