Можно ли использовать SonarQube в качестве инструмента статического тестирования безопасности приложений (SAST)?

Question

Можно ли использовать SonarQube в качестве инструмента статического тестирования безопасности приложений (SAST)?

Я ищу инструмент статического тестирования безопасности приложений (SAST) и не могу позволить себе коммерческие продукты (например, Checkmarx).

SonarQube - отличный инструмент для статического анализа кода, но я заметил, что есть только несколько правил типа "Уязвимости" ("Уязвимости" равны "Безопасности", я прав?).

Я планирую расширить некоторые пользовательские плагины, включая множество правил уязвимостей (возможно, сотни правил для C/C++, Java и других языков, которые поддерживает SonarQube).

Это практичный способ сделать SonarQube инструментом, похожим на Checkmarx? Или SonarQube подходит для статического тестирования безопасности? (Я не уверен, что сканер Sonar подходит для сканирования проблем безопасности)

Большое спасибо!

10

sonarqube static-analysis code-analysis sonarqube-scan security-testing

Источник

user6847755 24 ноя '17 в 10:18

4 ответа

Другие вопросы по тегам sonarqube static-analysis code-analysis sonarqube-scan security-testing

user2763621 30 янв '23 в 10:07 2023-01-30 10:07 · Answer 1 · 2023-01-30 10:07

Поскольку свежего ответа нет, а остальные очень старые; вот обновление от 2023 года: В зависимости от ваших языковых требований, тогда да; SonarQube можно использовать для SAST, включая бесплатную версию для сообщества.

Подробности смотрите на https://www.sonarsource.com/solutions/security/

user2581128 08 окт '19 в 12:51 2019-10-08 12:51 · Answer 2 · 2019-10-08 12:51

Команда OWASP выпустила отдельный инструмент SAST под названием " OWASP SonarQube". Он разработан с использованием инструмента sonarqube, но как инструмент SAST.

Этот инструмент может быть интегрирован со сборкой вашего проекта так же, как интеграция с SonarQube. Так что, если вы знакомы с SonarQube, это будет простой шаг.

user2311528 27 ноя '17 в 08:27 2017-11-27 08:27 · Answer 3 · 2017-11-27 08:27

Я не знаю *heckmarx, но если вы фильтруете только уязвимости, вы можете увидеть только 33 правила. Однако если вы отфильтруете для различных стандартов, таких как SANS, SWE, CERT и т. Д., Их будет гораздо больше: https://www.sonarsource.com/products/codeanalyzers/sonarjava/rules.html

Также вы можете добавить findbugs с помощью плагина secbugs, который имеет более 125 шаблонов ошибок безопасности... Возможно, вам придется деактивировать избыточный (хотя и только для Java...)

user7772356 24 ноя '17 в 14:24 2017-11-24 14:24 · Answer 4 · 2017-11-24 14:24

Я хотел бы обратить ваше внимание на инструмент PVS-Studio. Он ориентирован не только на контроль качества кода (запах кода поиска), но и на поиск реальных ошибок и потенциальных уязвимостей. Вот список, показывающий несоответствие между диагностикой PVS-Studio и CWE. В ближайшее время станет доступно работать в режиме кода CWE в интерфейсе PVS-Studio. Планируется следующий выпуск PVS-Studio 6.20.

PVS-Studio - это инструмент для обнаружения ошибок в исходном коде программ, написанных на C, C++ и C#. Работает в среде Windows и Linux. Еще одним приятным дополнением является возможность интеграции PVS-Studio с SonarQube.