¿De qué país viene sonarqube?

Sonarqube es estadounidense.

SonarQube comenzó como una herramienta de análisis de la calidad del código fuente y rápidamente se convirtió en una de las herramientas DevOps más utilizadas para obtener recomendaciones sobre las mejores prácticas de codificación, convenciones y rendimiento del código.

Tan recientemente como 2018, se agregaron características de seguridad adicionales. Con el tiempo, la popularidad de SonarQube como herramienta de seguridad ha crecido debido a la adopción generalizada de herramientas de prueba de seguridad de aplicaciones (AST) y a una mayor conciencia de la importancia de publicar código seguro.

SonarQube está disponible en una versión de código abierto y en múltiples productos comerciales, incluida una versión empresarial.

SonarQube incluye un conjunto de reglas de análisis estático (SAST) para encontrar vulnerabilidades de seguridad en el código de la aplicación, pero SonarQube no es una solución creada específicamente para el análisis de seguridad. Como referencia, de más de 600 reglas de Java, menos de 50 se consideran vulnerabilidades de seguridad.

El análisis estático (SAST) funciona observando el código fuente de una aplicación y simulando la ejecución de la aplicación para descubrir patrones sospechosos que pueden indicar riesgos de seguridad. SonarQube utiliza el seguimiento de contaminación estática, que ayuda a descubrir riesgos más sutiles que la simple coincidencia de expresiones regulares, pero se sabe que produce una gran cantidad de falsos positivos que deben ser verificados manualmente por expertos para que sean útiles para los desarrolladores.

Algunas tecnologías avanzadas de transmisión de datos estáticos no están disponibles en la versión de código abierto y requieren una licencia empresarial de suscripción paga.