我们能否用 SonarQube 替换静态应用程序安全测试 SAST 工具(如 Fortify、Checkmarx 和 IBM Appscan)。
根据 SonarQube Roadmap Docs 8.1 ( https://docs.sonarqube.org/latest/ ),它涵盖了源自建立标准的所有安全规则:CWE、SANS Top 25 和 OWASP Top 10。
问问题
688 次
2 回答
2
我这个领域没有工具是一样的。因此,当您在同一代码上运行所有这些工具时,您会得到一些类似的发现,一些新的和一些缺失的(可能是误报),这取决于它们如何实现该工具。鉴于 SonarQube 在该领域相对较新,我建议在该特定领域也使用其他一些工具。请注意,实现 100% 的检测结果非常困难/不可能。
于 2019-12-25T08:33:57.723 回答
0
不,你绝对不能真的。Sonar 的覆盖范围与您应该查看的内容不同。您必须了解他们是如何进行检测的,误报/负数等...
Fortify 和 Checkmarx 对代码中的流程进行分析。他们可以分析你在任何事情之前所做的控制。Sonarqube 更多地基于规则而不是基于流。
于 2020-01-09T12:24:15.283 回答