CURVC DevOps

페이지 트리

이 문서는 2022년 1월 31일 출시된 SonarQube 9.3 릴리즈 노트를 공유하기 위해 작성 되었다.

https://www.sonarqube.org/sonarqube-9-3/




Cloud 보안 : Azure Cloud 테라폼 + AWS Python DB 인젝션

SonarQube 9.3 버전에서 IaC 지원으로 더 많은 개발자들이 코드 및 배포 환경을 보호할 수 있도록 Azure Cloud용 Terraform 파일이 포함됩니다.
Azure Cloud Terraform 분석을 위한 도메인에는 저장 및 전송 중 보안, Azure Active Directory, Azure Resource Manager 및 공용 네트워크 액세스가 포함됩니다.

상용 에디션에서는 AWS Python Lambdas의 오염 분석은 AWS 전용 데이터베이스 싱크로 확장됩니다.
즉, AthenaDB, RDS-Data, DynamoDB, SimpleDB 및 RedShift 상호 작용이 Python과 JavaScript Lambdas에 대한 데이터베이스 상호 작용으로써 오염 분석 엔진에 의해 올바르게 인식됩니다.



양방형 문자 감지

파일에 양방향(Bidi) 문자가 있으면 문제가 없을거라고 생각했던 주석이 악성 코드로 바뀔 가능성이 있습니다.
Bidi 문자는 눈에 보이지 않기 때문에 분석으로 이를 발견하는 것이 특히 중요합니다.
때문에 분석된 모든 파일에서 이러한 문자를 감지하도록 언어 간 규칙을 추가했습니다. 



안드로이드의 오염 분석 (DE/EE/DCE)

보안에 민감한 구성과 MASVS 요구 사항 및 코루틴에 대한 Android 관련 규칙을 이전에 도입했었습니다. 
이제는 상용 에디션에서 XSS, 원격 코드 실행, 커맨드 삽입, SQL 삽입 및 Java 코드의 경로 삽입을 포착하기 위하여 안드로이드 오염 분석을 추가했습니다.



SalesForce 지원 강화

SalesForce Lightning Components는 현재 기본으로 분석됩니다. JavaScript 분석은 Aura Controller의 특수 구문을 이해하도록 업데이트 되었으며,.cmp 파일은 이제 자동으로 HTML 파일로 인식됩니다. 
Salesforce의 개체 지향 Apex 언어 분석은 Enterprise Edition에서 가능하지만 Lightning Components 분석은 Community Edition부터 무료로 사용할 수 있습니다.



C++20 코루틴에 도움이 되는 새로운 규칙 (DE/EE/DCE)

C+20의 가장 흥미로운 새로운 기능 중 하나는 저지연 프로그래밍에 특히 유용한 코루틴입니다.
개발자가 이를 잘 사용하고 일반적인 위험을 피할 수 있도록 10개의 새로운 코루틴 관련 규칙을 추가하고, 긍정 오류(false positive)를 피하고 최상의 경험을 제공하기 위하여 13개의 기존 규칙을 업데이트하였습니다.  



새로운 언어 버전

많은 프로그래밍 언어 업데이트가 지난 몇 개월 동안 릴리즈 되었습니다. SonarQube 9.3은 이러한 언어에 대하여 분석하는 것을 따라잡았습니다.
분석은 다음 언어 버전을 이해합니다.

  • Java 17 switch 패턴 매칭 표현 지원
  • Go 1.17
  • Ruby 3.0.3
  • Scala 3
  • PHP 8.1
  • Kotlin 1.6
  • Swift 5.5 (DE, EE, DCE)
  • Apex 1.53 (EE, DCE)



포트폴리오의 Clean as You Code(EE/DCE)

 Clean as You Code 방법이 포트폴리오에 추가되었습니다. 이제 포트폴리오 홈페이지는 개발자가 프로젝트 홈페이지에서 보는 것과 동일하게 새로운 코드에 대한 측정 값을 표시합니다. 이는 관리자와 개발자가 프로젝트에 대한 이해도를 공유하고 보다 풍부한 협업을 즐길 수 있음을 의미합니다.



포트폴리오의 지속적인 브랜치 (EE/DCE)

이전 9.2 버전의 포트폴리오 편집에서는 프로젝트 브랜치를 선택할 수 있는 기능을 확장했었습니다.
9.3 버전의 브랜치 지원으로 포트폴리오에 대한 애플리케이션 브랜치 지원이 추가됩니다.
또한 포트폴리오 편집에서 더 직관적으로 애플리케이션 선택을 업데이트 하였습니다.  애플리케이션 관리는 명확성을 높이기 위해 포트폴리오 관리 UI에서 제외되었습니다.



GA : Data Center Edition의 Kubernetes 지원 (DCE)

이제 Kubernetes에서 Data Center Edition을 공식적으로 지원합니다. 
몇 달 전에 베타로 발표했지만, 이제는 모든 에디션에 대한 Prometheus 모니터링 지원이 추가된 GA입니다.



추가적인 정보를 확인하세요.