SonarQube 9.9 LTS新版发布
SonarQube 9.9 LTS - 规模、平安性、速度
SonarQube 9.9 LTS版本正式发布,新的功用介绍如下,如需下载试用,请联络我们。
更快的拉取恳求阐发
拉取恳求 (PR) 阐发显著进步了速度。通过施行增量阐发和办事器端缓存,仅阐发更改的文件。
无论编程语言若何,您的 PR 阐发都将快得多——不异的高精度成果;只是交付得更快。例如,一个拥有大约 300,000 行代码的中型项目如今的阐发速度是以前的两倍多。那意味着在 SQ 8.x 上阐发本来需要 5 分钟的 PR,如今只需不到 2 分钟。
并且,关于基于 Git 的项目,我们还加快了您的第一个完全项目阐发。任何利用 Git SCM 的人城市发现,跟着初始责怪数据的检索改进,他们的第一次阐发均匀速度进步了 60%,速度进步了 90%。例如,关于具有 300K 行代码的项目,主分收的第一次阐发如今在不到 10 分钟的时间内完成,与以前的版底细比,速度进步了 80%。
平安的云原生利用法式
当您的利用法式迁徙到云时,您不只要庇护源代码,还要庇护所有相关的设置装备摆设和摆设。我们增加了对三个时髦的云供给商的撑持 - AWS,Google Cloud,Microsoft Azure - 及其底层手艺:无办事器和SAM框架,AWS CDK,IaC与Terraform和CloudFormation,以及Kubernetes和Docker的容器化摆设。
具有 TerraForm 和 Cloudformation 的根底架构即代码 (IaC)
利用 IaC 预配云资本?我们添加了许多检测不平安摆设设置装备摆设的新规则。
关于那些在Microsoft Azure和Google Cloud长进行开发的用户,我们为Azure供给了16个新的Terraform规则,为GCP供给了20个新的Terraform规则。
展开全文
关于那些在 AWS 长进行开发的用户,我们供给了 26 条 CloudFormation 规则和 24 条 Terraform 规则。
Amazon Serverless/SAM Frameworks (Lambdas) CDK
AWS Lambda 拥有越来越多的关键核心营业逻辑,能够成为许多注进进攻的进口点。SonarQube 为 AWS Lambda 和 AWS CDK 供给了新规则,可搀扶帮助您编写和摆设更平安的云原生利用法式。
AWS Lambdas:
SonarQube阐发在YAML文件中内联定义的JavaScript lambdas以查找平安热点。在贸易版本中,SonarQube 通过检测全套注进破绽来庇护您的 lambda,从而庇护您的云利用法式免受歹意用户数据的损害。关于利用 AWS Serverless Application Model (SAM)/CloudFormation 或 Serverless 设置装备摆设的 AWS Lambda,SonarQube 可以将全方位的污点阐发规则利用于用 Python、JavaScript/TypeScript 编写并在 CF、.yml 或无办事器文件中声明的 AWS lambda 逻辑。
AWS CDK:
关于那些利用 JavaScript/TypeScript 或 Python 描述其 AWS CDK 的 AWS 根底设备的用户,SonarQube 如今供给了涵盖权限和拜候掌握、可逃溯性、加密、公共拜候等的新规则,容许您平安地利用 AWS CDK。
适用于扩展组织的企业级功用
我们在此 LTS 中添加了许多与拜候治理、治理、治理和陈述相关的功用,以搀扶帮助您治理 SonarQube 实例和源代码资产组合的平安性和治理。
陈述,陈述和更多陈述!
新的和改进的平安性与合规性陈述、项目和项目组合陈述以及用于内部和外部合规性的 PDF 陈述。
新的平安性和合规性陈述涵盖付出卡行业数据平安原则(PCI DSS)v3.2和v4.0以及OWASP利用法式平安验证原则(ASVS),因而组织能够根据那些重要的行业原则权衡其合规性。此外,CWE Top 25 和 OWASP Top 10 2021 陈述可让您跟踪代码库针对已识别威胁的平安性。
新的项目级陈述,因而司理如今能够在交付前按期清晰地监控其项目标形态和量量。如今,任何人都能够通过电子邮件订阅以领受项目形态PDF。
从头设想项目组合演示文稿,以将重点放在仪表板 UI 和 PDF 陈述中新代码的形态上。在SonarQube 9.9 LTS中,司理和开发人员将分享对其项目安康情况的全新同一理解,以实现更丰富,更高效的协做。
还有投资组合撑持和目标徽章!司理能够创建新的项目组合来跟踪项目分收并跟踪统一项目中的多个分收。从社区版起头,用户能够通过公共和私家项目标目标徽章来展现他们的项目运行情况和不变性。
操做和治理SonarQube更随便
审计日记笔录、平安令牌处置、改进的用户治理和用户通信使 SonarQube 实例的治理变得愈加随便。
审核日记笔录容许治理员利用易于阐发的日记跟踪平安灵敏型更改,例如用户、项目和权限的更新,以便轻松领会谁在何时更改了什么。
平安令牌处置治理员如今能够通过全局设置新令牌的最长令牌保存期来强逼令牌过时。此外,您如今还能够创建项目令牌。
用户治理 SCIM 集成,用于同步用户从 Okta(SAML) 系统停用,以主动停用用户笔录并使令牌失效,以消弭任何潜在的平安破绽。
通信和登录指南容许治理员向用户供给自定义动静,例如,供给有关利用哪些根据停止登录的批示。治理员还能够展现有关办事器停机时间、庇护等的大量通信。
实例治理更随便。您能够利用 Kubernetes(仅限数据中心版)摆设 SQ 集群,并增加对所有版本的 Prometheus 监控的撑持。
从社区版起头,我们增加了对 SAML 恳求签名和断言加密的撑持,以实现平安的 SAML 事务,以便组织能够委任身份验证并简化单点登录。治理员如今有一个按钮来测试设置装备摆设,并通过我们大大改进的文档获取有关若何设置装备摆设 SAML 的更多信息。最初但并不是最不重要的一点是,治理员如今还能够将身份验证拜托给Bitbucket Cloud。
UI改进,更丰富的教导批示和新的集成
假设您不晓得若何修复它们,那么晓得代码中存在问题是不敷的。我们添加了丰富的教导内容,使大大都污点阐发规则易于理解,并与您的特定代码和框架相关(在开发人员版及更高版本中可用)。
我们还在UI中添加了清晰度和重点,以进步整体可拜候性,目标是更接近WCAG合规性。
在社区版中,我们添加了 Bitbucket 管道和 GitHub 操做的功用,以触发阐发和量量门形态。加上对Bitbucket云的全面集成撑持,如今包罗项目进职。
利用 CodeMagic CI/CD?我们如今撑持分收和 PR 的检测,因而开发人员能够在他们抉择的 DevOps 平台中获得 SonarQube 的优势。
许多新规则,包罗挪动版 Kotlin。
编写安卓利用法式?SonarQube 9.9 LTS 带来了新的 Kotlin 规则,用于检测不平安的收集通信、有问题的加密和数据平安性。贸易版包罗各类适用于 Java 的 Android 污点阐发规则,以确保契合挪动利用平安验证原则 (MASVS) 数据存储和隐私要求。如今,您的利用法式在提交到 Google Play 商铺之前,从开发中就平安了。
您还能够从编程语言的几个新规则中受益。假设你用 JavaScript 编程,我们添加了新的 React 规则来查找无限轮回、死代码和规则,以编写更好的 Mocha 和 Chai 测试。关于C++编程,我们添加了撑持 C++ 20 个协程的新规则,并改进了常用编译器的精度和阐发设置装备摆设。用 Python、Java、JS/TS 或 PHP 编写正则表达式?我们强大的规则可搀扶帮助您编写高效、无错误的正则表达式。关于 Java,我们添加了新规则以避免运行时错误和抵触,如今撑持 Java 19 解析。Java用户能够看到他们的第一个项目阐发的显着提拔 - 均匀30%和高达60%。那只是一瞥罢了!拜候我们的规则存储库,查看每种语言的全面笼盖范畴。
“编程时清洁”,“清洁代码”形态的口头禅
我们的任务深深植根于如许一个事实,即“清洁即代码”办法是组织到达“清洁代码”形态的最可继续体例。我们期看每个组织都能实现那一目标。那就是我们微调量量门 (QG) 工做流程的原因,以搀扶帮助您操练“编程即清理”。如今能够轻松识别和修复不契合“代码即清洁”的量量门。
编写清洁代码的更顺畅体验
从您最喜好的 SONARLint IDE起头,到开发工做流程的每个阶段,我们添加了许多加强功用,以简化清洁的代码交付。
特殊是,我们对SonarLint中的简单毗连形式设置停止了改进,添加了更新以供给从SonarQube到毗连的IDE的量量设置装备摆设文件的实时同步,并增加了项目标分收感知。我们还添加了检测云奥秘的新规则和快速修复,以便在您利用 SonarLint 在 IDE 中编码时立即主动修复某些问题。
关于苏州华克斯信息科技有限公司
专业的测试及平安产物办事供给商
Fortify | Webinspect | AppScan | SonarQube | 极狐GitLab
LoadRunner | UFT(QTP) | ALM(QC)