Можем ли мы заменить инструмент SAST для статического тестирования безопасности приложений, такой как (Fortify, Checkmarx и IBM Appscan), на SonarQube.
Согласно документам SonarQube Roadmap 8.1 (https://docs.sonarqube.org/latest/) говорит, что он охватывает все правила безопасности, созданные в соответствии со стандартом: CWE, SANS Top 25 и OWASP Top 10.
В этой области нет одинаковых инструментов. Поэтому, когда вы запускаете все эти инструменты на одном и том же коде, вы получите некоторые похожие результаты, некоторые новые и некоторые отсутствующие (возможно, ложные срабатывания), в зависимости от того, как они реализуют инструмент. Учитывая тот факт, что SonarQube является относительно новым в этой области, я бы предложил также использовать какой-либо другой инструмент для этой конкретной области. Имейте в виду, что добиться 100% результата обнаружения крайне сложно/невозможно.
Нет, вы могли бы определенно не на самом деле. Покрытие Sonar — это не то, что вам следует просматривать. Вы должны понимать, как они делали обнаружения, количество ложных срабатываний/отрицательных результатов и т. д.
Fortify и Checkmarx анализируют поток внутри вашего кода. Они могли анализировать контроль, который вы сделали, прежде чем что-либо. Sonarqube больше основан на правилах, а не на потоке.
