我们是否可以用SonarQube取代静态应用程序安全测试工具(如Fortify、Checkmarx和IBM Appscan

Question

我们是否可以用SonarQube取代静态应用程序安全测试工具，如Fortify、Checkmarx和IBM Appscan。

根据SonarQube路线图文档8.1 (https://docs.sonarqube.org/latest/)，它涵盖了源自establish标准的所有安全规则: CWE、 SANS TOP25和 OWASP 10。

Answer 1

在这个领域没有一个工具是相同的。因此，当你在相同的代码上运行所有这些工具时，你会得到一些相似的发现，一些新的，一些缺失的(可能是误报)，这取决于它们如何实现工具。考虑到SonarQube在这一领域相对较新的事实，我建议在这一特定领域也使用其他工具。请注意，实现100%的检测结果是极其困难或不可能的。

Answer 2

不，你绝对可以，实际上不是。Sonar的覆盖范围与您应该查看的内容不同。你必须了解他们是如何进行检测的，假阳性/阴性的数量等等。

Fortify和Checkmarx对代码内部的流进行分析。他们可以在任何事情之前分析你所做的控制。Sonarqube更多的是基于规则，而不是基于流。