我正在寻找静态应用程序安全测试(SAST)工具,而我负担不起商业产品(例如CheckMarx)。
Sonarqube是一个很棒的静态代码分析工具,但我注意到"漏洞"类型只有几个规则("漏洞"等于"安全",我对吗?)。
我计划扩展一些自定义插件,包括许多漏洞规则(也许是Sonarqube支持的C/C ,Java和其他语言的数百条规则)。
这是使Sonarqube成为" checkmarx这样的"工具的可行方法?还是Sonarqube适合静态安全测试?(我不确定声纳扫描仪是否适合扫描安全问题)
非常感谢!
有一个名为" Owasp Sonarqube"的OWASP团队发布的单独的SAST工具。这是使用Sonarqube工具开发的,但作为SAST工具。
该工具可以与您的项目构建与Sonarqube集成相同。因此,如果您熟悉Sonarqube,那将是一个简单的举动。
我不知道 *heckmarx,但是如果您仅因漏洞过滤,则可能只会看到33个规则。但是,如果您过滤了SANS,SWE,CERT等的不同标准,那么还有更多:https://www.sonarsource.com/products/codeanalyzers/sonarjava/rules.html#cert
您还可以使用具有超过125个安全性模式的secbugs插件添加findbugs ...不过,您可能必须停用冗余,但这(并且仅适用于Java ...)
由于最近没有答案,而其他答案很旧;这是2023年的更新:根据您的语言要求,然后是;Sonarqube可用于萨斯特,包括免费的社区版。
有关详细信息,请查看https://www.sonarsource.com/solutions/security/
我想提请您注意PVS-Studio工具。它不仅是在代码质量控制(搜索代码气味)上的定向,而且还针对搜索实际错误和潜在漏洞。这是列表,显示了PVS-Studio和CWE诊断之间的一致性。很快,它将在PVS-Studio接口中以CWE代码模式工作。它计划为下一个PVS-Studio 6.20版本。
pvs-studio是用C,C 和C#编写的程序源代码中错误检测的工具。它在Windows和Linux环境中起作用。另一个令人愉快的补充是将PVS-Studio与Sonarqube集成的能力。