bitegarden Security Assessment para SonarCloud

Informes de seguridad en PDF para SonarCloud™

Basado en los estándares de seguridad OWASP Top 10, CWE Sans Top 25 y OWASP ASVS, Security Report for SonarCloud™ obtiene la lista de evidencias y vulnerabilidades detectadas en SonarCloud™, para mostrarte el nivel de seguridad y cumplimiento de estándares de tu proyecto en forma de reporte en PDF.

El producto (aplicación por línea de comandos) proporciona informes en PDF predefinidos que muestran información clara y ejecutiva respecto al nivel de seguridad de tu código.

Genera informes de OWASP TOP 10 en PDF de SonarCloud™

El OWASP Top 10 proporciona una lista de los diez riesgos de seguridad más críticos que los desarrolladores de aplicaciones web y las organizaciones deben conocer para protegerse. Está mantenido por Open Web Application Security Project (OWASP), una organización dedicada a mejorar la seguridad de las aplicaciones web.

bitegarden Security Report for SonarCloud™ soporta generación de PDF para OWASP Top 10 2021 y OWASP Top 10 2017.

Genera informes de CWE Top 25 en PDF de SonarCloud™

El CWE Top 25 es un estándar destinado a proporcionar un lenguaje común y una comprensión de las debilidades de seguridad más críticas en el software, para que los desarrolladores y las organizaciones puedan priorizar sus esfuerzos para prevenir y mitigar estos riesgos.

El estándar está mantenido por el proyecto Common Weakness Enumeration (CWE) de MITRE Corporation, que es un esfuerzo impulsado por la comunidad para identificar y clasificar las debilidades de seguridad del software.

bitegarden Security Report for SonarCloud™ soporta la generación de PDF para CWE Top 25 2022, CWE Top 25 2021, CWE Top 25 2020 y CWE Top 25 2019.

Genera informes de OWASP ASVS en PDF de SonarCloud™

El Estándar OWASP de verificación de seguridad de aplicaciones (ASVS) es una lista de requisitos o pruebas de seguridad de aplicaciones que pueden usar arquitectos, desarrolladores, testers, profesionales de seguridad, proveedores de herramientas y consumidores para definir, crear, probar y verificar aplicaciones seguras.

bitegarden Security Report for SonarCloud™ soporta generación de PDF para OWASP ASVS.

Genera informes de ISO 5055 en PDF de SonarCloud™

ISO/IEC 5055:2021 es un estándar ISO para medir la estructura interna de un producto de software en cuatro factores críticos para el negocio: Seguridad, Confiabilidad, Eficiencia en el Desempeño y Mantenibilidad. Estos son los factores que determinan qué tan confiable y resistente será un sistema de software.

bitegarden Security Report for SonarCloud™ soporta generación de PDF para ISO/IEC 5055:2021.

Probar Comprar

¿Buscas la generación de informes en PDF para SonarQube™ on-premise? Echa un vistazo a bitegarden Security Plugin for SonarQube™.

Características

Las principales funcionalidades incluyen:

- Herramienta Java de línea de comandos:puede ser utilizada de forma independiente o integrada en tu herramienta CI/CD para generar automáticamente el informe.

- Informe OWASP Top 10 de tu proyecto en SonarCloud™ en PDF para verificar el cumplimiento del estándar.

- Informe CWE Top 25 de tu proyecto en SonarCloud™ en PDF que incluye toda la información del estándar para poder verificar su cumplimiento.

Opciones adicionales

La generación de PDF incluye algunas opciones adicionales para personalizar el informe:

- Soporte a ramas: permite generar informes PDF para cualquiera de tus ramas del proyecto.
- Soporte a todos los lenguajes y tecnologías de SonarCloud™.
- Soporte para un logo personalizado al pie de página y así incluir el logo de tu organización.
- Soporte para generar los informes en inglés y en español.

Primeros pasos

bitegarden Security Report for SonarCloud™ requiere Java 8 o superior.

Guía rápida: como generar PDFs de un estándar de seguridad de proyectos en SonarCloud™

Una vez que hayas descargado el producto tendrás un fichero "jar" auto ejecutable.

Simplemente ubícalo en tu sistema de ficheros y ejecuta el jar con la opción "--help" para ver todas las opciones disponibles:

java -jar bitegarden-sonarcloud-security.jar --help

El resultado debería mostrarte todas las opciones disponibles:

...
Mandatory properties:

          sonar.token = your user security token to authenticate against SonarCloud.
                        It is recommended to generate a new token for this app.
     sonar.projectKey = the project key from SonarCloud. You can find it in SonarCloud project information
sonar.organizationKey = the SonarCloud organization the project belongs to

Optional properties:

          report.type = owasp-top-10-2021 (default value)
                        owasp-top-10-2017
                        cwe-top-25-2022
                        cwe-top-25-2021
                        cwe-top-25-2020
                        cwe-top-25-2019
                        owasp-asvs

         sonar.branch = the branch where we will get the information for the report (default is main branch)
           footer.url = URL of the image to display centered in footer (PNG or JPG format are supported)
          user.locale = Locale to use for generated PDF file. Options are English (user.locale=en) or Spanish (user.locale=es)
               output = File name for the generated report

...

Todas las propiedades pueden proporcionarse a través de la línea de comandos como argumentos del sistema usando "-D" o a través de un fichero de configuración personalizado.

Si utilizas un fichero de configuración personalizado deberás ejecutar la aplicación con el argumento "-Dconfig.file" proporcionando la ruta a tu fichero de propiedades con la configuración:

java -Dconfig.file=myreportconfig.properties -jar bitegarden-sonarcloud-security.jar

Si lo prefieres puedes pasar todas las opciones a través de la línea de comandos con "-D":

java -Dsonar.token=mytoken -Dsonar.projectKey=myprojectkey -Dsonar.organizationKey=myorg -Dreport.type=cwe-top-25-2022 -jar bitegarden-sonarcloud-security.jar

Si una opción está definida en ambos sitios (un fichero de configuración y un argumento por línea de comandos) se usará el valor proporcionado en la línea de comandos. De esta forma puedes tener un fichero de configuración común con las propiedades compartidas (como por ejemplo sonar.token, sonar.organizationKey, ...) y después simplemente usar los argumentos para las opciones concretas como son "sonar.projectKey" o "sonar.branch", por ejemplo.

Generando un informe usando clave de licencia

Por defecto cuando descargas el producto podrás utilizar durante 14 días en modo evaluación. Una vez que la evaluación haya terminado, necesitarás adquirir el producto y obtener un clave de licencia válida.

La clave de licencia se proporciona en un fichero de texto. Para usar este fichero de licencia debes establecer la propiedad "license.file" con la ruta hasta el fichero de licencia en tu fichero de configuración (o a través de un argumento por línea de comandos).

Aquí tienes un ejemplo para generar un informe usando una licencia del producto a través de un argumento por línea de comandos:

java -Dconfig.file=myreportconfig.properties -Dlicense.file=PATH_TO_LICENSE_FILE -jar bitegarden-sonarcloud-security.jar

Está en tus manos decidir si quieres incluir la propiedad "license.file" en tu fichero de configuración o usarla a través de un argumento por línea de comandos con "-D".

Soporte y resolución de problemas

Cuando generes los informes el producto de mostrará toda la información con tu configuración y con la información de la licencia por la salida estándar.

Si tienes algún problema por favor crea una petición de soporte en nuestro centro de soporte y estaremos encantados de ayudarte a encontrar una solución.

Solicitar Soporte

Security Assessment for SonarQube™ Cloud