我正在寻找静态应用安全测试(SAST)工具,我买不起商业产品(例如Checkmarx)。
SonarQube是一个很棒的静态代码分析工具,但我注意到“漏洞”类型只有少数规则(“漏洞”等于“安全”,我是对的?)。
我计划扩展一些自定义插件,包括许多漏洞规则(可能有数百条C / C ++,Java和SonarQube支持的其他语言规则)。
这是使SonarQube成为“Checkmarx like”工具的实用方法吗?或者SonarQube适合静态安全测试吗? (我不确定Sonar Scanner是否适合扫描安全问题)
非常感谢!
答案 0 :(得分:1)
OWASP团队发布了一个单独的SAST工具,名为“ OWASP SonarQube”。这是使用声纳工具开发的,但作为SAST工具开发的。
该工具可以与SonarQube集成相同地与您的项目构建集成。因此,如果您熟悉SonarQube,这将是一个简单的举动。
答案 1 :(得分:-1)
我想提请您注意PVS-Studio工具。它不仅取决于代码质量控制(搜索代码气味),还取决于实际错误和潜在漏洞的搜索。这是list,显示了PVS-Studio和CWE诊断之间的一致性。很快它就可以在PVS-Studio界面中以CWE代码模式工作。计划在下一个PVS-Studio 6.20发布。
PVS-Studio是一个用于在程序源代码中检测错误的工具,用C,C ++和C#编写。它适用于Windows和Linux环境。另一个令人愉快的补充是能够使用SonarQube integrate PVS-Studio。