checkmarx自定义插件

Question

我们正在使用Integration编写一个大型应用程序，并使用ESQL作为主要的转换语言。我们正在研究用于静态代码分析和扫描的CheckMarx。但是CheckMarx不支持开箱即用的ESQL。

是否可以为CheckMarx编写一个自定义插件，以便能够扫描和分析ESQL代码？我找不到任何相同的在线资源。

Answer 1

在使用Checkmarx时，很容易创建自己的自定义查询，并对支持的语言进行微调扫描。

由于Checkmarx还不支持esql文件，这意味着esql没有被解析。编写自定义插件是不可能的。

您可以联系Checkmarx支持，并询问是否计划在未来扫描esql。

Answer 2

所选答案并不完全正确。首先解析Informix文件并创建中间C文件。这意味着，如果在生成中间文件时使用-keep选项，则可以使用Checkmarx对C编程语言的支持来容纳这些文件。Informix使用的4GL文件也是如此。这里的主要问题是很难将原始源代码行映射到生成的C代码行。结果是很难消费的。