我正在寻找静态应用程序安全测试 (SAST) 工具,但我买不起商业产品(例如 Checkmarx)。
SonarQube 是一个很棒的静态代码分析工具,但我注意到只有少数“漏洞”类型的规则(“漏洞”等于“安全”,对吗?)。
我计划扩展一些自定义插件,包括许多漏洞规则(可能有数百条 C/C++、Java 和 SonarQube 支持的其他语言的规则)。
这是使 SonarQube 成为“类似 Checkmarx”的工具的可行方法吗?还是 SonarQube 适合静态安全测试?(我不确定 Sonar Scanner 是否适合扫描安全问题)
非常感谢!
OWASP 团队发布了一个单独的 SAST 工具,名为“ OWASP SonarQube ”。这是使用 sonarqube 工具开发的,但作为 SAST 工具。
该工具可以与您的项目构建集成,与 SonarQube 集成相同。因此,如果您熟悉 SonarQube,这将是一个直截了当的举动。
我不知道 *heckmarx 但如果您只过滤漏洞,您可能只会看到 33 条规则。但是,如果您过滤不同的标准,如 SANS、SWE、CERT 等,还有更多:https ://www.sonarsource.com/products/codeanalyzers/sonarjava/rules.html#CERT
您还可以使用具有超过 125 个安全错误模式的secbugs插件添加 findbugs...不过,您可能必须停用冗余(而且它仅适用于 java...)
我想提请您注意PVS-Studio工具。它不仅针对代码质量控制(搜索代码气味),而且针对真正的错误和潜在漏洞的搜索。这是列表,显示了 PVS-Studio 和CWE诊断之间的一致性。很快它将可以在 PVS-Studio 界面中以 CWE 代码模式工作。计划在下一个 PVS-Studio 6.20 版本中发布。
PVS-Studio 是一个用于检测程序源代码中的错误的工具,用 C、C++ 和 C# 编写。它适用于 Windows 和 Linux 环境。另一个令人愉快的新增功能是将PVS-Studio 与 SonarQube集成的能力。