SonarQube 9.9 LTS 版本特性分析

最新推荐文章于 2024-07-18 15:29:35 发布

DevOps云学堂

最新推荐文章于 2024-07-18 15:29:35 发布

阅读量343

点赞数

原文链接：https://mp.weixin.qq.com/s?__biz=MzU2NjU5MjYwNw==&mid=2247492760&idx=1&sn=fa510d249db3e32b62835c9a86b4f5d3&chksm=fca8b1a8cbdf38bee0a4a33883f5a82378ef45d4796e6e5898fd5b9876d94e40f25e1ce4a2a8&scene=126&sessionid=0

版权

点击上方蓝字⭐️关注“DevOps云学堂”，接收最新技术实践

今天是「DevOps云学堂」与你共同进步的第 17 天

JDK版本17+

PG数据库支持

不支持代码扫描关联Git

https://community.sonarsource.com/t/error-integrating-gitlab-cicd/73668

依旧支持多分支代码扫描

更快的拉取请求分析

拉取请求 (PR) 分析得到显着的速度提升。随着增量分析和服务器端缓存的实施，只分析改变的文件。无论使用何种编程语言，您的 PR 分析都会快得多——同样的高精度结果；只是交付更快。例如，一个具有大约 300,000 行代码的中型项目现在的分析速度是以前的两倍多。这意味着在 SQ 8.x 上分析 PR 需要 5 分钟，现在只需不到 2 分钟。
而且，对于基于 Git 的项目，我们还加快了您的第一个完整项目分析。任何使用 Git SCM 的人都会发现，他们的第一次分析速度平均提高了 60%，随着对初始责备数据检索的改进，速度提高了 90%。例如，对一个包含 30 万行代码的项目的主分支的首次分析现在可以在不到 10 分钟的时间内完成，与之前的版本相比提速了 80%。

保护云原生应用程序

随着您的应用程序迁移到云端，您不仅要保护源代码，还要保护所有相关的配置和部署。我们增加了对三个流行的云提供商——AWS、Google Cloud、Microsoft Azure——及其底层技术的支持：无服务器和 SAM 框架、AWS CDK、带有 Terraform 和CloudFormation 的 IaC，以及带有 Kubernetes 和 Docker 的容器化部署。

使用 Terraform 和 Cloudformation 的基础设施即代码 (IaC)
使用 IaC 配置您的云资源？我们添加了许多新规则来检测不安全的部署配置。
对于那些在 Microsoft Azure 和 Google Cloud 上开发的人，我们有16 个新的 Azure Terraform 规则和20 个新的 GCP Terraform 规则。
对于在 AWS 上进行开发的人员，我们提供了26 条 CloudFormation 规则和24 条 Terraform 规则。

SonarQube所有的规则都可以在https://rules.sonarsource.com/找到。

Amazon 无服务器/SAM 框架 (Lambdas) 和 CDK
AWS Lambdas 拥有越来越多的关键核心业务逻辑，可以成为许多注入攻击的切入点。SonarQube 为 AWS Lambdas 和 AWS CDK 提供新规则，帮助您编写和部署更安全的云原生应用程序。

AWS lambda：
SonarQube 分析 YAML 文件中内联定义的 JavaScript lambda 以查找安全热点。在商业版本中，SonarQube 通过检测全套注入漏洞来保护您的 lambda，从而保护您的云应用程序免受恶意用户数据的侵害。对于使用 AWS 无服务器应用程序模型 (SAM)/CloudFormation 或无服务器配置的 AWS Lambdas，SonarQube 能够将全方位的污点分析规则应用于以 Python、JavaScript/TypeScript 编写并在 CF、.yml、.yml、或无服务器文件。

AWS 开发工具包：
对于那些使用 JavaScript/TypeScript 或 Python 使用 AWS CDK 描述其 AWS 基础设施的人，SonarQube 现在提供涵盖权限和访问控制、可追溯性、加密、公共访问等的新规则，让您可以安全地使用 AWS CDK。

为您的扩展组织提供企业级功能

我们在此 LTS 中添加了许多与访问管理、管理、治理和报告相关的功能，以帮助您管理 SonarQube 实例和源代码资产组合的安全性和管理。

报告，报告和更多报告
新改进的安全性和合规性报告、项目和投资组合报告，以及用于内部和外部合规性的 PDF 报告。

新的安全与合规报告涵盖支付卡行业数据安全标准 (PCI DSS) v3.2 和 v4.0 以及 OWASP 应用程序安全验证标准 (ASVS)，因此组织可以根据这些重要的行业标准衡量其合规性。此外，CWE Top 25 和 OWASP Top 10 2021 报告可让您跟踪代码库的安全性以应对已识别的威胁。
新的项目级报告使管理人员现在可以在交付前定期清楚地监控项目的状态和质量。任何人现在都可以订阅以通过电子邮件接收项目状态 PDF。
重新设计 Portfolio 演示文稿，将焦点放在仪表板 UI 和 PDF 报告中的新代码状态。在 SonarQube 9.9 LTS 中，管理人员和开发人员将共享对其项目健康状况的全新统一理解，以实现更丰富、更高效的协作。
还有投资组合支持和公制徽章！管理人员可以创建新的项目组合来跟踪项目分支并跟踪同一项目中的多个分支。从社区版开始，用户可以使用公共和私人项目的指标徽章来炫耀他们的项目健康和稳定。

操作和管理 SonarQube 更容易
审计日志记录、安全令牌处理、改进的用户管理和用户通信使 SonarQube 实例的管理变得更加容易。

审计日志允许管理员使用易于解析的日志跟踪对安全敏感的更改，例如对用户、项目和权限的更新，因此很容易了解谁更改了什么以及何时更改。
安全令牌处理，因此管理员现在可以通过全局设置新令牌的最大令牌寿命来强制令牌过期。另外，您现在还可以创建项目令牌。
用户管理SCIM 集成可同步 Okta (SAML) 系统的用户停用，以自动停用用户记录并使令牌无效，从而消除任何潜在的安全漏洞。
通信和登录指南允许管理员向用户提供自定义消息——例如，提供有关使用哪些凭据进行登录的指南。管理员还可以显示有关服务器停机、维护等的大量通信。
实例管理更容易。您可以使用 Kubernetes（仅限数据中心版）部署 SQ 集群，并为所有版本添加对 Prometheus 监控的支持。
从社区版开始，我们为安全 SAML 事务添加了对 SAML 请求签名和断言加密的支持，因此组织可以委托身份验证并简化单点登录。管理员现在有一个按钮来测试配置，并通过我们大大改进的文档获取有关如何配置 SAML 的更多信息。最后但同样重要的是，管理员现在还可以将身份验证委托给 Bitbucket Cloud。

UI 改进、更丰富的教育指导和新集成

如果您不知道如何修复它们，那么知道您的代码中存在问题是不够的。我们添加了丰富的教育内容，使大多数污点分析规则易于理解并与您的特定代码和框架相关联（适用于 Developer Edition 及更高版本）。
我们还在 UI 中增加了清晰度和重点，以提高整体可访问性，以更接近 WCAG 合规性。
在社区版中，我们为 Bitbucket 管道和 GitHub 操作添加了触发分析和质量门状态的功能。加上对 Bitbucket Cloud 的全面集成支持，现在包括项目启动。
使用 CodeMagic CI/CD？我们现在支持分支和 PR 的检测，因此开发人员可以在他们选择的 DevOps 平台中获得 SonarQube 的好处。

许多新规则，包括用于移动设备的 Kotlin

编写 Android 应用程序？SonarQube 9.9 LTS 带来了新的 Kotlin 规则，用于检测不安全的网络通信、有问题的密码和数据安全。商业版包括各种针对 Java 的 Android 污点分析规则，以确保符合移动应用安全验证标准 (MASVS) 数据存储和隐私要求。现在，您的应用程序在提交到 Google Play 商店之前就可以安全开发了。

您还可以受益于针对您编程语言的几条新规则。如果您使用 JavaScript 编程，我们添加了新的 React 规则来查找无限循环、死代码和编写更好的 Mocha 和 Chai 测试的规则。对于使用 C++ 进行的编程，我们添加了支持 C++ 20 协程的新规则，并改进了流行编译器的精度和分析配置。用 Python、Java、JS/TS 或 PHP 编写正则表达式？我们强大的规则可帮助您编写高效、无错误的正则表达式。对于 Java，我们添加了新规则来防止运行时错误和冲突，现在支持 Java 19 解析。Java 用户在他们的第一个项目分析中可以看到相当大的提升——平均 30% 和高达 60%。

往期推荐