什么是秘密?
机密信息是指硬编码在源代码中的高价值凭证,例如密码、API密钥和数据库令牌。一旦泄露,将危及公司安全。机密信息暴露可能导致系统和数据被未经授权访问,引发数据泄露和合规风险。要防止机密信息泄露,必须在开发早期识别并移除这些信息,确保它们永远不会进入源代码控制系统。
机密信息包括:
- 密码
- API密钥
- 加密密钥
- 令牌
- 数据库凭证
全球700万开发者信赖
是什么让SonarQube的机密检测成为最适合您的代码扫描工具
强大
SonarQube的全面机密检测超越常规解决方案,凭借340余条规则可识别248项云服务及上千个API中的400多种机密模式。信号聚焦分析确保为开发者提供精准、低干扰的检测结果。
快速
运行检测机密扫描时,该操作将与常规代码扫描同步进行,且不会显著影响扫描性能时间。这种并行化方法在保持开发人员高效工作的同时,确保了CI/CD管道中持续的安全覆盖。
全面
SonarQube通过SonarQube for IDE在集成开发环境中执行机密检测,并借助SonarQube Server或SonarQube Cloud在代码仓库及CI/CD管道中实施检测。这种左移策略能在代码提交前阻止机密泄露。CI/CD的质量门控机制既能防止高风险代码合并,又能保障开发效率。
精准
SonarQube的机密检测功能拥有低于5%的误报率,这对确保检测准确性及维护开发者信任至关重要。稳定且低干扰的检测结果能帮助团队快速响应,减少警报疲劳,并确保持续集成/持续交付(CI/CD)管道畅通运行,避免不必要的阻塞。
可靠
SonarQube的漏洞检测引擎内置安全机制,当扫描耗时过长时会自动终止,从而避免程序失控或溢出。这种设计使扫描过程可预测,保障持续集成/持续交付(CI/CD)管道的吞吐量,确保开发人员不会因分析程序卡死或过度分析而受阻。
开源
SonarQube 的漏洞检测代码和规则以开源形式公开,供社区贡献者参与。透明的规则定义能加速改进进程、扩大覆盖范围,并共享最佳实践,从而惠及开发人员和安全团队。了解如何贡献!
集成
SonarQube IDE版免费提供代码机密检测功能,该功能在SonarQube Server和SonarQube Cloud商业版中亦包含其中,无需额外付费。开发人员无需额外许可即可快速启用该功能,从而简化跨团队部署及CI/CD管道的实施流程。
治理
通过可导出报告、历史趋势和可追溯的修复活动展示预防性控制措施。为审计人员提供CI/CD管道检查、一致策略及记录结果的清晰证据,从而简化合规性审查流程。
防止企业专属机密泄露
公开机密虽涵盖多数敏感信息,但仍有大量企业专属机密采用仅贵公司知晓的结构或格式。通过 SonarQube Server 企业版和数据中心版创建自定义规则,检测您公司的私有密钥模式,实现最佳的密钥检测覆盖率,最高可达您所有密钥的 100%。
最全面的预防解决方案
Sonar 不仅能检测密钥,更能教育开发人员识别含密钥的代码。每条密钥检测规则都包含说明,解释为何发现的代码段属于密钥,以及该密钥构成安全风险的影响细节。如今开发者已知晓如何避免在代码中包含机密信息。多么酷炫的功能!
