我正在使用带有默认配置文件Sonar way的 SonarQube 6.3.1 。我安装了最新的 SonarJava 插件 (4.8.0.9441)。
我可以看到应该使用的规则 SQL 绑定机制被激活。
我已经为 Intellij 安装了 SonarLint 2.9.0 插件并连接到正在运行的 SonarQube 服务器。
从声纳页面复制示例违规后,我可以在我的 IDE 中看到该插件工作正常。到目前为止,一切似乎都很完美。
不幸的是,对 SonarQube 服务器的分析没有发现这个漏洞。另一个 owasp-a6 规则也是如此, Cookie 应该是安全的(Sonarlint 也发现了)。但另一方面,一些 owasp 规则起作用(即不应使用控制台日志记录)。 这是一个已知的声纳问题,一些规则被省略了吗?排除不是问题,我很确定正在分析这些文件,因为已经发现了一些其他问题。