Dog*_*ior 5 code-analysis static-analysis security-testing sonarqube sonarqube-scan
我正在寻找静态应用程序安全测试 (SAST) 工具,但我买不起商业产品(例如 Checkmarx)。
SonarQube 是一个很棒的静态代码分析工具,但我注意到只有少数“漏洞”类型的规则(“漏洞”等于“安全”,对吗?)。
我计划扩展一些自定义插件,包括很多漏洞规则(对于 C/C++、Java 和 SonarQube 支持的其他语言可能有数百条规则)。
这是使 SonarQube 成为“类似 Checkmarx”的工具的可行方法吗?还是 SonarQube 适合静态安全测试?(我不确定 Sonar Scanner 是否适合扫描安全问题)
非常感谢!
OWASP 团队发布了一个单独的 SAST 工具,名为“ OWASP SonarQube ”。这是使用 sonarqube 工具开发的,但作为 SAST 工具。
该工具可以与您的项目构建集成,就像 SonarQube 集成一样。因此,如果您熟悉 SonarQube,这将是一个简单的举动。
因为最近没有答案,而且其他的都很旧了;这是 2023 年的更新:根据您的语言要求,可以;SonarQube 可用于 SAST,包括免费社区版。
有关详细信息,请查看https://www.sonarsource.com/solutions/security/
And*_*pov -3
我想提请您注意PVS-Studio工具。它不仅面向代码质量控制(搜索代码异味),还面向搜索真实错误和潜在漏洞。这是列表,显示了 PVS-Studio 和CWE诊断之间的\xd1\x81一致性。很快它将可以在 PVS-Studio 界面中以 CWE 代码模式工作。计划在下一个 PVS-Studio 6.20 版本中发布。
\n\nPVS-Studio 是一个用于程序源代码中错误检测的工具,用 C、C++ 和 C# 编写。它可以在 Windows 和 Linux 环境中运行。另一个令人愉快的补充是能够将PVS-Studio 与 SonarQube集成。
\n| 归档时间: |
|
| 查看次数: |
9573 次 |
| 最近记录: |