一、对比分析我们使用WebGoat做为测试用例,来分析一下两个产品的差异。
1、使用工具:
?Fortify SCA ?SonarQube
2、使用默认规则,不做规则调优。
3、扫描后直接导出报告,不做审计。
二、扫描问题总览
Fortify SCA扫描结果报告:
从上边可以看出:Fortify扫描出Critical和High级别的漏洞共计757条。
SonarQube扫描出阻断和严重级别的漏洞为28条,关于软件质量问题有2K+条。
Fortify扫描出来的内容,基本上都是和安全相关的信息。例如:?Privacy Violation?Cross-Site Scripting: Reflected?Cross-Site Scripting: Persistent?SQL Injection
{?SonarQube}代码质量分析工具
SonarQube 是开源的代码质量分析平台, 用来持续分析和评测项目源代码的质量。{SonarQube }可以检测出项目中的重复代码、潜在bug、代码规范、安全性漏洞等问题,并在SonarQube平台上查看、审计等。
关键功能
1. 支持27种编程语言的代码质量分析
2. 支持4000+类代码质量和安全漏洞规则
3. 指导开发人员经验
4. 支持自动分支分析
5. 无需二次开发实现DevOps流程自动化
6. 支持50+插件集成,具体请参考苏州华克斯信息科技有限公司网站说明
SonarQube和Fortify的区别对比
一直以来,sonarqube招标参数,有很多用户在问,SoanrQube和Fortify都是白盒的源代码扫描工具,代理商sonarqube招标参数,这两个产品有什么不一样的地方呢?苏州华克斯信息科技有限公司做为SonarQube和Fortify这两个产品在中国的he心合作伙伴,中国sonarqube招标参数,希望下边的内容能解答您的疑惑。
SonarQube是一个代码质量分析平台,便于管理代码的质量,可检查出项目代码的漏洞和潜在的逻辑问题。同时,它提供了丰富的插件,支持多种语言的检测。
主要的he心价值体现在如下几个方面:
?检查代码是否遵循编程标准:如命名规范,编写的规范等。
?检查设计存在的潜在缺陷:SonarQube通过插件Findbugs等工具检测代码存在的缺陷。
?检测代码的重复代码量:SonarQube可以展示项目中存在大量复zhi粘贴的代码。
?检测代码中注释的程度:源码注释过多或者太少都不好,影响程序的可读可理解性。
?检测代码中包类之间的关系:分析类之间的关系是否合理,中国sonarqube招标参数,复杂度情况。
Fortify SCA是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全mian地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。
sonarqube招标参数-苏州华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是从事“Loadrunner,Fortify,源代码审计,源代码扫描”的企业,公司秉承“诚信经营,用心服务”的理念,为您提供更好的产品和服务。欢迎来电咨询!联系人:华克斯。
