四、sonarqube扫描内容分析
sonarqube扫描出来的内容,基本上都与代码相关联的。
例如:
?modifiers should be declared in the correct order
?secti of code should not be commented out
?ctructors should not be used to instantiate string,源代码检测工具fortify扫描, biginteger, bigdecimal&primitive-wrapper classes
?string function use should be optimized for single characters
?string literals should not be duplicated
· regex rule for filenameregex&contentregex
· structural rule for cloud configuration in nested objects
· structural rule for cloud configuration in single object
· structural rule for terraform configuration in nested blocks
· structural rule for terraform configuration in single block
· terraform bad practices: untrusted module in use
语言支持更新:
· apex
· go
· hcl
· javasc ript/typesc ript
· json
· kotlin
· php
· python
· yaml
其他配置文件类型支持:
· configuration
· docker
· xml
一、对比分析我们使用webgoat做为测---例,源代码审计工具fortify扫描,来分析一下两个产品的差异。
1、使用工具:
?fortify sca ?sonarqube
2、使用默认规则,华南fortify扫描,不做规则调优。
3、扫描后直接导出报告,源代码审计工具fortify扫描,不做审计。
二、扫描问题总览
fortify sca扫描结果报告:
从上边可以看出:fortify扫描出critical和high级别的漏洞共计757条。
sonarqube扫描出阻断和---级别的漏洞为28条,关于软件问题有2k+条。
fortify扫描出来的内容,基本上都是和安全相关的信息。例如:?privacy violation?cross-site sc ripting: reflected?cross-site sc ripting: persistent?sql injection
源代码审计工具fortify扫描-华克斯信息由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司坚持“以人为本”的企业理念,拥有一支高素质的员工队伍,力求提供---的产品和服务回馈社会,并欢迎广大新老客户光临惠顾,真诚合作、共创美好未来。华克斯——您可---的朋友,公司地址:苏州工业园区新平街388号,联系人:华克斯。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713a1.zhaoshang100.com/zhaoshang/278283159.html
关键词:
滇公网安备 53011202000392号