SonarQube可以用作静态安全测试工具吗?

ysit 发布于 2019-11-08 sonarqube 最后更新 2019-11-08 22:59 10 浏览

我正在寻找一个静态的安全测试工具,我买不起商业产品(例如Checkmarx)。 SonarQube是一款出色的静态代码分析工具,但我注意到“漏洞”类型只有几条规则(“漏洞”等同于“安全”,对吗?)。 我计划扩展一些自定义插件,包括许多漏洞规则(可能有数百个针对c / c ++,java和SonarQube支持的其他语言的规则)。 这是将SonarQube变成“Checkmarx like”工具的可行方法吗?还是SonarQube适合静态安全测试?(我不确定Sonar Scanner是否适合扫描安全问题) 非常感谢!

已邀请:

gautem

赞同来自:

我想提请您注意PVS-Studio工具。它不仅取决于代码质量控制(搜索代码气味),还取决于实际错误和潜在漏洞的搜索。这是list,显示了PVS-Studio和CWE诊断之间的一致性。很快它就可以在PVS-Studio界面中以CWE代码模式工作。计划在下一个PVS-Studio 6.20发布。 PVS-Studio是一个用于在程序源代码中检测错误的工具,用C,C++和C#编写。它适用于Windows和Linux环境。另一个令人愉快的补充是能够使用SonarQube integrate PVS-Studio。

znon

赞同来自:

我不知道* heckmarx但是如果你只过滤漏洞,你可能只看到33条规则。但是,如果你过滤不同的标准,如SANS,SWE,CERT等,还有更多:https://www.sonarsource.com/products/codeanalyzers/sonarjava/rules.html#CERT 您还可以使用secbugs插件添加findbugs,该插件具有超过125个安全漏洞模式...您可能必须停用冗余(但它仅适用于java ...)