技术强国 全球技术巨头利用 SonarQube 确保制造执行系统安全

挑战

在严重的恶意软件袭击工业设施后，全球最大的发电和输电供应商之一提高了安全水平。其部门构建制造执行系统 (MES)，通过战略客户信息连接到工厂、控制器和业务应用程序。为了保护这些宝贵的资产，必须在发布产品之前修复所有漏洞和缺陷。然而，渗透测试和黑盒工具并不能覆盖代码的所有部分，并且会遗漏漏洞。开发了一个开源代码分析工具的内部聚合器，但很快就变得过于昂贵而难以维护，并且缺乏语言支持、可用性和可操作的结果。

解决方案

在内部审核期间，SonarQube 因其速度和精度而受到推荐。其他已建立的 SAST 产品也进行了评估，但没有很好地集成到分类工作流程中，没有发现足够的问题或速度太慢。在直接比较中，SonarQube 的静态分析花费了 20 分钟而不是许多小时，并且立即产生了明显更好的结果。通过使用质量配置文件对这些进行了进一步优化。SonarQube 全面的 REST API 使团队能够定制 Microsoft TFS 中的自定义步骤、Azure DevOps 中的自定义仪表板，并通过 MS Teams 发送状态消息。

结果

使用 SonarQube 四年后，团队的思想转变显而易见。安全性是由了解代码并了解风险的开发人员驱动的。已经有 600 名横跨三大洲的开发人员每天愉快地使用 SonarQube 来审查他们的拉取请求，并且还有更多的开发人员加入。在每天早上的站立会议上，团队讨论代码的质量和安全性以及如何改进。当定制的质量门失败时，管道会自动失败，以便在严重漏洞最终成为生产中的潜在漏洞之前就检测到并修复它们。