Karriere
Instagram Linkedin

QimTech

SonarQube zur Analyse und Verbesserung der Codesicherheit.

Sichern Sie Ihren Code mit SonarQube Security. Erkennen Sie Schwachstellen, integrieren Sie ihn in DevSecOps und verbessern Sie kontinuierlich die Softwarequalität.
SonarQube

Was ist SonarQube?

Definition und Rolle

SonarQube ist eine Lösung zur statischen Analyse des Quellcodes, die sich auf die Qualität der Entwicklung ausrichtet. Es ist in der Lage, Fehler, schlechte Praktiken, Schwachstellen sowie Probleme mit der Wartbarkeit („Code Smell“) zu identifizieren.

SonarQube umfasst Funktionen zur Identifikation von Sicherheitslücken im Quellcode.

Es gehört in die Kategorie SAST-Tools (Static Application Security Testing). Es analysiert den Quellcode, ohne ihn auszuführen, und identifiziert Risiken wie SQL-Injektionen oder XSS-Angriffe (Cross-Site Scripting).

So unterstützt es Entwickler dabei, ihre Anwendungen bereits in der Entwicklungsphase zu sichern, indem es ihnen detaillierte Berichte und Lösungsvorschläge für die Identifizierung von Problemen/ Schwachstellen liefert.

SonarQube stellt eine zentrale Plattform zur Verfügung, über die sowohl Qualität als auch Sicherheit verfolgt werden können.

Die erkannten Anomalien werden nach Schweregrad sortiert, und über die Webschnittstelle können sie den Entwicklern zugewiesen, Kommentare ausgetauscht oder False Positives gemeldet werden.

Diese Verwaltung fördert die Zusammenarbeit bei Sicherheitsproblemen innerhalb der Teams und bietet gleichzeitig eine klare Verfolgung der Problemlösung im Laufe der Zeit.

SonarQube verbessert die Prävention: Durch die Integration von SonarQube in die Entwicklung hilft SonarQube dabei, von Anfang an sicherere Anwendungen zu entwickeln, indem Schwachstellen behoben werden, sobald sie auftreten.

Vergleich verschiedener Arten von Tools für die Anwendungssicherheit

Tools zum Testen der Anwendungssicherheit gibt es in verschiedenen Kategorien, die jeweils eine eigene Methode zur Erkennung von Schwachstellen anwenden.

  • SAST (Static Application Security Testing): Diese Lösungen, zu denen auch SonarQube gehört, inspizieren den Code, ohne ihn auszuführen.

Sie vergleichen ihn mit Regeln, die aufgestellt wurden, um bekannte Schwachstellen zu identifizieren. Beispielsweise können sie auf einen drohenden Pufferüberlauf (Buffer Overflow) oder auf Geheimnisse im Code hinweisen.

Ihr grosser Vorteil? Sie werden bereits in die ersten Entwicklungsphasen integriert, sodass Probleme behoben werden können, während der Code noch Gestalt annimmt.

Sie haben jedoch ihre Grenzen: Da sie sich auf den Rohcode konzentrieren, übersehen sie Probleme, die mit der Konfiguration der Umgebung oder der tatsächlichen Nutzung zusammenhängen.

Ein weiterer Nachteil ist, dass sie manchmal unnötige Warnungen – sogenannte False Positives – anzeigen, die sich nicht wirklich auf die Sicherheit auswirken.

SonarQube ermöglicht es, Risiken im Code zu erkennen, benötigt aber ein menschliches Auge, um die Warnungen zu sortieren, und erkennt keine Schwachstellen, die mit der Ausführung oder der Konfiguration zusammenhängen.

  • DAST (Dynamic Application Security Testing): Im Gegensatz zu SAST wird bei einem DAST eine laufende Anwendung analysiert, ohne dass auf den Quellcode zugegriffen wird.

Hier spielt das Tool eine ähnliche Rolle wie ein Angreifer oder Hacker: Es sendet bösartige Anfragen an die Anwendung, um Schwachstellen aufzuspüren.

Scanner wie OWASP ZAP oder Burp Suite spüren z. B. SQL-Injections, XSS, Konfigurationsfehler oder Schwachstellen bei der Authentifizierung auf.

Auf diese Weise können Schwachstellen aufgespürt werden, die sich erst im laufenden Betrieb offenbaren.

Dafür kann sie erst später im Lebenszyklus einer Anwendung, nämlich in der Testphase, eingesetzt werden und erfordert oft mehr Zeit und Erfahrung für die Interpretation der Ergebnisse.

  • IAST (Interactive Application Security Testing): IAST ist eine Mischung aus SAST und DAST.

Diese Tools, häufig Softwareagenten, integrieren sich in einen Teil der Anwendung, während diese ausgeführt wird – typischerweise in der Testphase – und beobachten ihr Verhalten von innen heraus, während sie den Zielcode analysieren.

Konkret bedeutet dies, dass ein IAST-Agent einen Teil der Anwendung in Echtzeit verfolgt (z. B. während automatisierter Tests) und ein Problem mit seinem genauen Ursprung im analysierten Code in Verbindung bringen kann.

Das Ergebnis: Programmierfehler sowie Umgebungs- oder Konfigurationsprobleme können in einem bestimmten Teil der Anwendung erkannt werden.

Dieser Ansatz ist jedoch weniger verbreitet.

Kurz gesagt: Wo SonarQube sich auf den Code konzentriert, analysiert ein DAST das Verhalten einer laufenden Anwendung, und ein IAST dringt in einen Teil der Anwendung ein, während diese ausgeführt wird.

Wie analysiert SonarQube die Sicherheit des Codes?

Wichtigste Arten von erkannten Schwachstellen

SonarQube erkennt eine grosse Anzahl von Schwachstellen im Quellcode anhand von Sicherheitsregeln, die auf die am häufigsten auftretenden Schwachstellen abzielen.

SonarQube unterscheidet zwei Kategorien: Schwachstellen, schwerwiegende Lücken, die dringend behoben werden müssen, und Security Hotspots, sensible Bereiche, die manuell überarbeitet werden müssen.

Dies sind die wichtigsten Arten von Risiken, die es aufdeckt:

  • Injektionen (SQL, OS, LDAP usw.): Sonar kann ungültige oder unsaubere Einträge in der Anwendung erkennen, die es einem Angreifer ermöglichen, beliebige Befehle auszuführen.
  • Cross-Site Scripting (XSS): Meldet Fälle, in denen eine Webanwendung unkontrolliert eingespeiste Inhalte an den Benutzer zurücksendet und so die Tür für gespeichertes oder reflektierendes XSS öffnet.
  • Probleme mit der Authentifizierung/Autorisierung: Das Tool erkennt fest codierte Passwörter, veraltete Authentifizierungsmechanismen oder zu schwache Zugriffskontrollen auf – auch wenn in manchen Fällen eine Überprüfung während der Ausführung erforderlich ist.
  • Offenlegung sensibler Daten: Die Speicherung von Passwörtern im Klartext oder die Verwendung eines fragilen Verschlüsselungsalgorithmus (Typ MD5) wird erkannt.
  • Riskante Deserialisierung: Es werden Deserialisierungen von Objekten aus fragwürdigen Quellen erkannt, die potenziell zur Ausführung von bösartigem Code ausgenutzt werden können.
  • Anfällige Komponenten: Obwohl dieser Bereich (Software Composition Analysis genannt) nicht nativ unterstützt wird, kann SonarQube, z. B. über Plugins, die Verwendung riskanter Bibliotheken oder Frameworks melden.

Insgesamt ermöglicht SonarQube die Erkennung der meisten grösseren Schwachstellen und gibt Issues mit einer Beschreibung, einem Schweregrad (blockierend, kritisch usw.) und praktischen Ratschlägen aus, die den Entwickler zu einer zweckmässigen Behebung führen.

Erläuterung der integrierten Sicherheitsregeln

Die Sicherheitsregeln von SonarQube orientieren sich an den wichtigsten Standards für Anwendungssicherheit und bieten so einen Rahmen für die Bewertung und Verbesserung des Codes. Dies sind die wichtigsten berücksichtigten Referenzen:

  • OWASP Top 10: Das Open Web Application Security Project ist eine internationale Open-Source-Gemeinschaft, die sich der Verbesserung der Sicherheit von Webanwendungen widmet.

Sie bietet eine Rangliste der zehn grössten Risiken für die Web-Sicherheit, wie z. B. Injektionen oder Identifikations- und Authentifizierungslücken.

SonarQube reagiert darauf mit Regeln, die auf jede Kategorie zugeschnitten sind.

In speziellen OWASP Top 10-Berichten werden die Schwachstellen nach Kategorien (A1, A2 usw.) angezeigt, wobei eine Bewertung (A, B, C…) den Grad der Einhaltung der Vorschriften widerspiegelt.

Eine Möglichkeit, um sicherzustellen, dass das Projekt diesen Standard einhält.

  • CWE Top 25: Die Common Weakness Enumeration ist ein standardisierter Katalog von Software-Schwächen (Bugs, Designfehler), die zu ausnutzbaren Schwachstellen führen können.

Es listet gängige Sicherheitsschwächen auf, und seine jährliche Top-25-Liste hebt die kritischsten hervor. SonarQube verbindet seine Regeln mit diesen CWEs.

Ein spezieller Bericht bewertet die Einhaltung dieser Top 25, was technische Diskussionen und die Priorisierung wichtiger Korrekturen erleichtert.

SonarQube integriert auch Empfehlungen des CERT Secure Coding und andere Standards.

Jede Regel gibt oft ihren Bezug zu einem Referenzsystem an, was den Entwicklern hilft, die Bedeutung der Schwachstelle zu erfassen und sie gleichzeitig für bewährte Praktiken sensibilisiert.

Statische vs. dynamische Analyse

Statische Analyse (durchgeführt von SonarQube) und dynamische Analyse (über DAST- oder IAST-Tools) sind zwei sich ergänzende Säulen der Anwendungssicherheit.

Wenn Sie die Unterschiede zwischen diesen verstehen, können Sie SonarQube optimal nutzen und es in eine globale Sicherheitsstrategie einordnen.

  • Statische Analyse: Hierbei wird der Quellcode untersucht, ohne ihn auszuführen.

SonarQube geht auf diese Weise vor, indem es den Code Datei für Datei durchsucht und dann Regeln anwendet, um Schwachstellen im Code zu finden.

Beispielsweise wird ein Benutzereintrag, der unkontrolliert in eine SQL-Abfrage eingespeist wurde, als riskant gekennzeichnet. Der Vorteil ist, dass man frühzeitig, bereits in der Entwicklungsphase, handeln kann, dank einer Integration in eine IDE (über SonarLint) oder einer CI-Pipeline, um jeden Commit zu überprüfen.

Die statische Analyse hat jedoch ihre Grenzen. Sie erkennt keine Fehler, die mit einer Serverkonfiguration oder komplexen Szenarien zusammenhängen, die erst bei der Ausführung auftauchen.

Einige Schwachstellen benötigen einen Ausführungskontext, um identifiziert werden zu können.

  • Dynamische Analyse: Im Gegensatz zur statischen Analyse wird bei der dynamischen Analyse die Anwendung während der Ausführung getestet.

Ein dynamischer Test besteht darin, eine Reihe von Aktionen in einer Anwendung durchzuführen (Formulare ausfüllen, Angriffe simulieren usw.) und zu überprüfen, ob die Anwendung in einer Weise reagiert, die eine Sicherheitslücke oder Schwachstelle aufdeckt (Informationsverlust, abnormales Verhalten usw.).

Mit diesem Ansatz lassen sich Schwachstellen identifizieren, die im Rohcode unsichtbar sind und erst zur Laufzeit sichtbar werden (Authentifizierungs-, Session-, Konfigurationslücken usw.).

Der Nachteil ist, dass dies später im Entwicklungszyklus geschieht, oft in der Integrationsphase, was die Korrekturen komplexer macht.

Ein weiterer Nachteil ist, dass es dem Entwickler obliegt, im Code die Quelle der Schwachstelle zu diagnostizieren.

SonarQube führt nur eine statische Analyse durch. Für vollständige Sicherheit muss man seine Analyse durch dynamische Tests (automatisierte DASTs, manuelle Pentests) ergänzen.

Die DevSecOps-Philosophie fördert die Annahme des „Shift Left“-Ansatzes, bei dem Kontrollen vorweggenommen werden, während Überprüfungen am Ende des Zyklus (Monitoring, Tests in der Produktion) beibehalten werden.

SonarQube und Dynamic Scanning ergänzen sich also gegenseitig: Das eine sichert den Code, das andere spürt Schwachstellen zur Laufzeit auf und deckt so den gesamten Lebenszyklus einer Anwendung ab.

SonarQube konfigurieren

Installation und Konfiguration

Die Installation von SonarQube umfasst die Bereitstellung eines Servers (oder die Verwendung von SonarCloud), die Erstellung eines Projekts, die Generierung eines Tokens und die Verwendung von SonarScanner zur Analyse des Codes.

Es kann auch in externe Datenbanken integriert und je nach Bedarf angepasst werden.

Die zu berücksichtigenden Schritte sind:

  • Installation des SonarQube-Servers: Zunächst muss die für die Anforderungen geeignete Version heruntergeladen werden. SonarQube wird über ein Zip (Windows/Linux) oder ein Docker-Image installiert.

Standardmässig enthält SonarQube eine Datenbank, die für Tests verwendet werden kann. Für die Produktion wird empfohlen, eine Verbindung zu einer Datenbank (PostgreSQL, Oracle, SQL Server) herzustellen.

Nach dem Start erhält man Zugang zu einer Weboberfläche mit Dashboards zur Qualität und Sicherheit der Projekte.

  • Erstellen eines Projekts und Generieren eines Tokens: Auf der SonarQube-Oberfläche wird ein Projekt erstellt, das dem zu analysierenden Code entspricht.

Das Token wird z.B. verwendet, um Scans von einer CI-Pipeline oder einem lokalen Rechner aus zu starten.

  • Code-Analyse mit SonarScanner: SonarScanner, analysiert den Code und übermittelt die Ergebnisse an den Server.

Es gibt verschiedene Arten von Scannern, z.B. Maven/Gradle für Java oder für .NET.

Sie müssen die URL des Servers, das Token und den Projektschlüssel angeben. Für spezifischere Anforderungen stehen weitere Optionen zur Verfügung (z. B. Ausschluss von Dateien oder Ordnern).

Sobald der Scan abgeschlossen ist, erscheint der Bericht in der SonarQube-Oberfläche.

Insgesamt ist die Installation von SonarQube einfach und gut dokumentiert. Das Tool kann intern gehostet werden oder als SonarCloud, die SaaS-Version, die die Wartung vereinfacht.

Anpassen von Sicherheitsregeln und Quality Gates

Nach der Installation und Einrichtung von SonarQube ist es unerlässlich, das System an die eigenen Bedürfnisse anzupassen, damit es zu einem echten Sicherheitsvorteil wird. Die beiden wichtigsten Hebel sind: Anpassen der Profile (Quality Profiles) und Konfiguration von Quality Gates.

  • Anpassen von Sicherheitsregeln (Quality Profile): SonarQube stützt sich auf Qualitätsprofile (Quality Profiles), um festzulegen, welche Regeln bei der Analyse angewendet werden.

Standardmässig hat jede Sprache ein Standardprofil („Sonar Way“) mit einer Untermenge von generischen Regeln.

Im Bereich der Sicherheit möchte man jedoch je nach Kontext und Risikoniveau die relevanten Regeln auswählen.

Man kann also Profile spezifizieren, indem man spezifische Regeln hinzufügt oder bestimmte Regeln deaktiviert, z. B. wenn sie False Positives erzeugen.

Über die Benutzeroberfläche können die Regeln nach Thema oder Tag sortiert und die zu aktivierenden Regeln markiert werden. Bei Bedarf können auch eigene Regeln über Plugins oder Tools von Drittanbietern wie „Find Security Bugs“ für Java erstellt werden.

  • Sicherheitsorientierte Quality Gates konfigurieren: Quality Gates legen Qualitätsschwellenwerte fest, um ein Projekt freizugeben oder abzulehnen.

Das standardmässige Quality Gate erfordert u. a. keine neuen Issues und die Einhaltung bestimmter Schwellenwerte für Code-Duplizierung und Testabdeckung.

Um den Schwerpunkt auf die Sicherheit zu legen, kann ein Quality Gate angepasst werden, um keine blockierenden oder kritischen Schwachstellen im neuen Code und allen geprüften Hotspots zuzulassen.

Was ist das Ziel? Sicherheit zu einem blockierenden Kriterium machen: Eine kritische Schwachstelle lässt die Validierung des Quality Gate scheitern und verhindert eine Freigabe in diesem Zustand.

Eine bewährte Vorgehensweise ist die schrittweise Umsetzung. Beispielsweise können zunächst neue Sicherheitslücken überprüft und begrenzt werden, bevor der Umfang auf die restliche Anwendung ausgeweitet wird. So können Teams Änderungen schrittweise vornehmen und alte Schwachstellen nach und nach beheben.

  • Falsche Positive und Ausnahmen verwalten: Einige Warnungen können als „False Positive“ oder „Won’t Fix“ markiert werden, wenn sie nach einer Überprüfung kein echtes Risiko darstellen oder die Risiken akzeptiert werden.

Mit Bedacht einsetzen, aber es vereinfacht den gesamten Integrationsprozess.

Für eine übersichtliche und strukturierte Nachverfolgung können auch Tags und Verantwortliche zugewiesen werden.

Durch die Anpassung von Regeln und Gates kann SonarQube optimal an den Projektkontext angepasst werden.

Automatisierung der Analyse in einer CI/CD-Pipeline

Zur besseren Integration in die Prozesse kann SonarQube in CI/CD-Pipelines eingebunden werden.

Ziel ist es, dass die Codeanalyse in den Pipelines automatisiert wird. Hier einige Beispiele für die Integration:

  • Integration mit GitLab CI: GitLab CI ermöglicht die Orchestrierung von Analyseaufträgen.

Fügen Sie einfach einen Job in die Datei „.gitlab-ci.yml“ ein, um die Analyse mit dem SonarScanner zu starten.

Dieser Job wird die Variablen des GitLab-Projekts verwenden, um auf den Sonar-Server zuzugreifen (URL, Token).

Eine Beispielkonfiguration: 

"sonar_scan: 

  stage: analysis 

  image: sonarsource/sonar-scanner-cli:latest 

  script:  

- sonar-scanner -Dsonar.projectKey=myproj -Dsonar.host.url=https://sonar.exemple.com -Dsonar.login=$SONAR_TOKEN 

  only: 

- merge_requests 

- main 

"

Ergebnis: Jeder Merge Request oder Commit auf dem Hauptzweig löst einen Scan aus.

GitLab kann die Pipeline auch stoppen, wenn das Quality Gate nicht validiert ist.

  • Integration mit Jenkins: Jenkins verfügt über ein SonarQube-Plugin, das die Ausführung des Scanners vereinfacht.

Wir konfigurieren in Jenkins die Informationen des Sonar-Servers (in der globalen Konfig) und fügen dann in der Pipeline (Pipeline Jenkinsfile oder Freestyle-Job) einen Sonar-Schritt hinzu.

Ein Beispiel für ein deklaratives Skript: 

"stage('SonarQube Analysis') { 
  steps { 
withSonarQubeEnv('My Sonar') { 
  sh 'sonar-scanner -Dsonar.projectKey=myproj -Dsonar.sources=src/ -Dsonar.host.url=https://sonar.exemple.com -Dsonar.login=${SONAR_TOKEN}' 
} 
  } 
}"

Das Jenkins Sonar-Plugin bietet auch einen Schritt zum Warten auf den Vergleich mit dem Quality Gate (waitForQualityGate), um die Pipeline zu stoppen, wenn die Kriterien nicht erfüllt werden.

  • Integration mit GitHub Actions: Auf GitHub kann man entweder die offizielle Aktion „SonarSource/sonarcloud-github-action“ (vor allem für SonarCloud) verwenden oder den Scanner direkt in einem Job aufrufen.

Ein Beispiel für einen Workflow: 

"- name: SonarQube Scan 
  uses: sonarsource/sonarqube-scan-action@v1.2 
  with: 
host_url: ${{ secrets.SONAR_HOST_URL }} 
login: ${{ secrets.SONAR_TOKEN }} 
projectBaseDir: "./" 
" 
  • Andere CI/CD-Tools: SonarQube lässt sich an andere Systeme wie Azure DevOps (mit Erweiterung), Bitbucket Pipelines, CircleCI usw. anpassen.

Im Rahmen von DevSecOps wird die Pipeline zu einer Sicherheitsvorkehrung: Der Übergang in die Produktion wird blockiert, wenn die Sicherheitskriterien nicht erfüllt sind.

  • IDE-Integration (SonarLint): Um eine noch frühere Integration in den Entwicklungszyklus zu erreichen, kann man SonarLint in seiner IDE verwenden.

SonarLint ist ein Plugin (erhältlich für IntelliJ, VS Code, Eclipse usw.), das den Code während des Schreibens analysiert.

Es informiert die Entwickler während der Entwicklung über Schwachstellen, sodass sie diese vor den Commits beheben können.

Durch die Automatisierung von SonarQube im CI/CD wird die Sicherheit im Herzen der Entwicklung verankert.

Die Teams erhalten schnelles Feedback, korrigieren und übernehmen die Sicherheit als unverzichtbares Kriterium für jede Lieferung.

Best Practices mit SonarQube

Berichte richtig interpretieren

Sicherheitswarnungen über SonarQube zu erhalten ist hilfreich, sie zu interpretieren und darauf zu reagieren ist noch hilfreicher.

Das Tool bietet eine Gesamtansicht und genaue Details, um diese Aufgabe zu erleichtern.

Das Dashboard zeigt eine Sicherheitsbewertung (A bis E), die Anzahl der offenen Schwachstellen und die „Sicherheits-Hotspots“, die überprüft werden müssen.

Ein E zeigt ernsthafte Probleme an. Diese Schnellansicht gibt einen ersten Überblick über den allgemeinen Status des Projekts.

In der Liste der Issues finden sich die für die Analyse und Behebung notwendigen Details: Titel, Schweregrad, verletzte Regel sowie ihr Ort im Quellcode.

Ausserdem gibt es eine Erklärung zum Risiko und zur Lösung. Diese Ratschläge werden oft von bewährten Verfahren oder Dokumentationen begleitet.

Anschliessend muss der Aktionsplan festgelegt werden: kritische Schwachstellen schnell beheben, die Behebung kleinerer Schwachstellen planen, ohne dass sie sich im Laufe der Zeit anhäufen.

Was die „Sicherheits-Hotspots“ betrifft, so ist ein Überprüfungsschritt erforderlich: Weisen Sie dem Team die Überprüfung zu und entscheiden Sie dann, ob sie behoben werden sollen oder nicht (Falsche Positive oder akzeptiertes Risiko).

Wenn Sie SonarQube Security richtig einsetzen, werden diese Berichte in den Alltag und das gesamte Projektmanagement integriert.

Integration des Tools in einen DevSecOps-Ansatz

Um die Effektivität von SonarQube zu maximieren, sollte es nicht als isoliertes Tool betrachtet werden, sondern als Baustein der „DevSecOps“-Kultur. Einige Tipps:

  • Bevorzugen Sie den „Shift Left“-Ansatz: Integrieren Sie SonarQube bereits in den ersten Entwicklungsphasen in die Prozesse. Machen Sie ihn zu einem Akzeptanzkriterium, um Sicherheit als Qualitätskriterium zu verankern.
  • Sensibilisieren Sie das Team: Ein Entwickler, der versteht, warum eine Schwachstelle ein Problem darstellt, wird natürlich sicherer codieren. Die Berichte von SonarQube können Entwicklern helfen, diese Risiken und ihre Lösungen zu verstehen. Durch die ergänzende Durchführung interner Schulungen kann dieses Bewusstsein noch verstärkt werden. Mit der Zeit setzen sich gute Praktiken durch, wobei SonarQube dann eine Art Leitplanke darstellt.
  • SonarQube in Workflows integrieren: Durch die Automatisierung von Analysen in CI/CD-Pipelines, die Integration von Berichtsergebnissen in das Projektmanagement und das Verwalten von Schwachstellen über Tickets.
  • Mit anderen Tools ergänzen: SonarQube konzentriert sich auf die statische Analyse von Code.

Für eine umfassende Sicherheit sind jedoch zusätzlich die Analyse von Abhängigkeiten (z. B. Snyk), Container-Scans (Trivy), dynamische Analysen oder manuelle Tests erforderlich.

Weitere Informationen zu den Tools von DevSecOps finden Sie in einem speziellen Artikel.

Kann SonarQube mit einem DAST- oder IAST-Tool integriert werden?

Viele Teams versuchen, verschiedene Arten von Analysen in ihren CI/CD-Pipelines zu kombinieren.

Bei SonarQube für SAST kann durch Hinzufügen eines DAST- (wie Checkmarx) oder IAST-Tools der Analyseumfang erweitert werden.

SonarQube bietet jedoch keine Möglichkeit, die Ergebnisse auf der Benutzeroberfläche zusammenzufassen.

Die Koexistenz von SonarQube mit einem DAST oder IAST ist jedoch durchaus möglich:

  • Parallele Ausführung im CI: In der Pipeline kann auch eine dynamische Analyse gestartet werden. Wenn eine der beiden Methoden eine kritische Schwachstelle entdeckt, kann die Pipeline blockiert werden.
  • Konsolidierung und Zentralisierung von Berichten: Für einen umfassenden Überblick können Drittanbieter-Tools wie „DefectDojo“ die Ergebnisse von SonarQube und einem DAST-Tool importieren und bieten so eine übersichtliche Zusammenfassung. GitLab oder GitHub bieten ebenfalls Sicherheits-Dashboards an
  • Synergie: SonarQube und DAST/IAST sind keine Gegensätze, sondern ergänzen sich. Beide sind von entscheidender Bedeutung. Ihre Kombination verstärkt die Erkennung von Schwachstellen.

Kurz gesagt: Die Kombination von SonarQube mit dynamischen Analysetools erweitert die Sicherheitsabdeckung. Die Koordination läuft über die Prozesse – Pipeline, einheitliche Berichte – und nicht über SonarQube allein.

Einschränkungen und Alternativen zu SonarQube

Einschränkungen von SonarQube hinsichtlich der Anwendungssicherheit

SonarQube beschränkt sich auf statischen Code und übersieht dabei Schwachstellen, die erst bei der Ausführung auftreten.

Die Analyse erfolgt auf der Grundlage der von Sonar definierten Regeln. Neue Schwachstellen können unbemerkt bleiben und es können False Positives erzeugt werden.

SonarQube analysiert nur den Code. Er erkennt keine Probleme mit der Infrastruktur oder der Serverkonfiguration. Es kann zu False Positives führen und ist kein Ersatz für ein Infrastruktur-Sicherheitstool.

Vergleich mit anderen Sicherheitstools

Verschiedene Tools decken ähnliche Bedürfnisse ab wie SonarQube, jedes mit seiner eigenen Besonderheit:

  • Checkmarx: Diese Lösung bietet mehr Funktionen als SonarQube. Die Plattform integriert SAST, DAST, SCA, Container- und IaC-Sicherheit.
  • Veracode: Veracode bietet SAST, DAST und Abhängigkeitsanalyse. Man sendet den Code an Veracode und erhält einen detaillierten Bericht über die Schwachstellen, der sich ideal für Compliance und Audits eignet.
  • Snyk: Snyk ist ein vielseitiges Tool, SAST, SCA, Container- und IaC-Sicherheit.

Wie hilft Ihnen Qim info bei der Implementierung von SonarQube?

Bei Qim info begleiten wir Sie bei jedem Schritt der Integration von SonarQube Security, um die Anwendungssicherheit als Leistungshebel nutzen zu können. Dank unseres massgeschneiderten Ansatzes schulen wir Sie in Sicherheitsfragen, in der Handhabung des Tools und in dessen reibungsloser Integration in Ihre CI/CD-Pipelines. Wir bieten Ihnen auch regelmässige Supportleistungen an, um Ihnen bei der Auswertung der Berichte, der Anpassung der Regeln und der Anbindung von SonarQube an andere Sicherheitslösungen zu helfen.

Unsere Betreuung umfasst drei Bereiche:

  • Beratung und Schulung: Analyse Ihrer Bedürfnisse und praktisches Erlernen des Tools.
  • Technische Implementierung: Bereitstellung des Servers oder der SonarCloud, Konfiguration von Profilen und Quality Gates, Integration in Ihre CI/CD-Pipelines.
  • Überwachung und Fortschritt: Unterstützung bei der Analyse von Berichten, laufende Anpassungen und Synergien mit anderen Sicherheitstools, einschliesslich Container-Image-Scannern.

Mit unserem Know-how in den Bereichen DevSecOps und Sicherheit helfen wir Ihnen, SonarQube dauerhaft in Ihren Praktiken zu verankern. Das Ergebnis sind autonomere Teams, robusterer Code und besser geschützte Projekte.

Unsere Teams im Kompetenzzentrum verfügen über eine gemeinsame Wissensgrundlage. Sie profitieren von gegenseitigen Kompetenzsteigerungen, die sicherstellen, dass sie mit allen Entwicklungen Schritt halten können. Entscheiden Sie sich für die kollektive Exzellenz, um Ihre IT-Umgebung sicher, optimiert und zukunftsfähig zu gestalten.

Inhaltsverzeichnis

Diese Artikel könnten Sie auch interessieren

Performance IT

QimTech

IT-Monitoring: Definition, Herausforderungen und bewährte Verfahren

Sorgen Sie mit dem IT-Monitoring für die Leistung und Sicherheit Ihrer IT-Infrastruktur. Entdecken Sie Tools, Trends und Strategien für eine effiziente Überwachung.
Le métier de Cloud engineer

QimTech

Alles über den Beruf des Cloud Engineers

Entdecken Sie den Beruf des Cloud Engineers: Aufgaben, Schlüsselkompetenzen, Tools, Lohn und Karrieremöglichkeiten. Umfassender Leitfaden, um Cloud Engineer zu werden.

QimTech

Alles über den Beruf des Funktionsanalytikers

Der Funktionsanalytiker spielt eine Schlüsselrolle in IT-Projekten. Erfahren Sie mehr über seine Aufgaben, Fähigkeiten, Methoden, Tools und den Weg zu diesem Beruf.
Alle Nachrichten ansehen

Auf der Suche nach einem vertrauenswürdigen IT-Partner?

Erfahren Sie, wie Qim info Schweizer Unternehmen mit massgeschneiderten IT-Lösungen begleitet
Entdecken Sie unsere Dienstleistungen

GENF Carouge

Rue du Tunnel, 15-17
1227 Carouge – CH
+41 (0) 22 304 15 00

GENF Petit-Lancy

Route de Chancy, 59
1213 Petit-Lancy – CH
+41 (0) 22 304 15 00

LAUSANNE

Place Bel-Air 1
1003 Lausanne – CH
+41 (0) 21 341 15 00

ZÜRICH

Dreikönigstrasse 55
8002 Zürich – CH
+41 (0) 44 201 01 34

BASEL

Schützengraben 7,
4051 Basel – CH
+41 (0) 61 723 01 88

ANNECY

7 Av. du Pré Félin
74940 Annecy – FR
+33 (0) 4 56 67 49 91

© Qim info – Design : WeAreBandits – Growth : Nexoka
Instagram Linkedin
Instagram Linkedin