SonarQube可以用作静态应用程序安全测试工具吗？

Question

我正在寻找一个静态应用程序安全测试(SAST)工具，但我买不起商业产品(例如：Checkmarx)。

SonarQube是一个很棒的静态代码分析工具，但我注意到“漏洞”类型只有几条规则(“漏洞”等于“安全”，对吗？)

我计划扩展一些自定义插件，包括许多漏洞规则(可能有数百条针对C/C++、Java和SonarQube支持的其他语言的规则)。

这是使SonarQube成为一个“类似于Checkmarx”工具的可行方法吗？或者，SonarQube适合静态安全测试吗？(我不确定Sonar Scanner是否适合扫描安全问题)

非常感谢!

Answer 1

OWASP团队还发布了一个单独的SAST工具，名为"OWASP SonarQube“。这是使用sonarqube工具开发的，但作为一个SAST工具。

此工具可以与您的项目构建集成，就像SonarQube集成一样。因此，如果您熟悉SonarQube，这将是一个简单的步骤。

Answer 2

我不知道*heckmarx，但如果你只过滤漏洞，你可能只会看到33条规则。但是，如果您针对不同的标准进行过滤，如SANS、SWE、CERT等，那么还有更多的标准：https://www.sonarsource.com/products/codeanalyzers/sonarjava/rules.html#CERT

此外，您还可以使用secbugs插件添加findbugs，该插件有超过125个安全错误模式……不过，您可能必须停用冗余项(而且它仅适用于java...)

Answer 3

我想引起您对PVS-Studio工具的注意。它不仅定位于代码质量控制(搜索代码气味)，而且还定位于寻找真实的错误和潜在的漏洞。这是list，显示了PVS-Studio和CWE诊断程序之间的с一致性。很快，它将可以在PVS-Studio界面中的CWE代码模式下工作。它计划在下一个PVS-Studio 6.20版本中使用。

PVS-Studio是一个用C、C++和C#编写的程序源代码中的错误检测工具。它可以在Windows和Linux环境下工作。另一个令人愉快的新增功能是能够使用SonarQube integrate PVS-Studio。