Можно ли использовать SonarQube в качестве инструмента статического тестирования безопасности приложений (SAST)?

Я ищу инструмент статического тестирования безопасности приложений (SAST), и я не могу позволить себе коммерческие продукты (например, Checkmarx).

SonarQube — отличный инструмент для статического анализа кода, но я заметил, что здесь всего несколько правил типа «Уязвимости» («Уязвимости» равны «Безопасности», я прав?).

Я планирую расширить некоторые пользовательские плагины, включая множество правил об уязвимостях (возможно, сотни правил для C/C++, Java и других языков, которые поддерживает SonarQube).

Это практичный способ сделать SonarQube инструментом, похожим на Checkmarx? Или SonarQube подходит для статического тестирования безопасности? (Я не уверен, что Sonar Scanner подходит для сканирования проблем с безопасностью)

Большое спасибо!


static-analysis sonarqube sonarqube-scan code-analysis security-testing
person DogJunior    schedule 24.11.2017    source источник
comment
Сегодня SonarQube не может заменить инструмент Checkmarx. Возможно, к концу 2018/2019 года история была бы другой.   -  person Jeroen Heier    schedule 24.11.2017
comment
В Sonarqube теперь есть правила безопасности для OWASP top 10 2017 в дополнение к другим правилам безопасности. https://docs.sonarqube.org/latest/user-guide/security-rules/   -  person whitestryder    schedule 12.11.2019
comment
И эта ссылка говорит, что Sonarqube теперь выполняет SAST: https://www.sonarqube.org/features/security/   -  person whitestryder    schedule 12.11.2019
comment
Итак, @JeroenHeier, каково ваше мнение сейчас, в 2020 году?   -  person Attila Csipak    schedule 01.05.2020
comment
@Attila Csipak Вы можете посмотреть здесь: itcentralstation.com/products/comparisons/   -  person Jeroen Heier    schedule 20.06.2020
comment
Этот отчет пытается собрать воедино отзывы пользователей, которые крайне субъективны. Возможно, есть более объективные средства для сравнения инструментов SAST. Например, недавно я прочитал исследование Gartner, в котором сравнивались инструменты SAST (и другие инструменты безопасности). К сожалению, SonarQube не был включен по разным причинам (он основан на OSS, в первую очередь не ориентирован на безопасность и т. д.). В любом случае, спасибо, что указали мне на центральную станцию ​​IT.   -  person Attila Csipak    schedule 24.06.2020

Ответы (3)


arrow_upward
3
arrow_downward

Команда OWASP выпустила отдельный инструмент SAST под названием «OWASP SonarQube. Это разработано с использованием инструмента sonarqube, но как инструмент SAST.

Этот инструмент можно интегрировать в сборку вашего проекта так же, как интеграцию с SonarQube. Так что, если вы знакомы с SonarQube, это будет простой шаг.

person lkamal    schedule 08.10.2019
comment
Связанный репозиторий github был заархивирован и доступен только для чтения. Мне кажется, что проект OWASP SonarQube закрыт. community.sonarsource.com/t/owasp-sonarqube-project/36920/ 2 - person Paul G; 02.02.2021
comment
@PaulG - однако продукт sonarqube по-прежнему поддерживает тесты безопасности в качестве инструмента SAST в соответствии с веб-сайтом sonarqube.org. /особенности/безопасность - person lkamal; 02.02.2021

arrow_upward
2
arrow_downward

Я не знаю, *heckmarx, но если вы фильтруете только уязвимости, вы можете увидеть только 33 правила. Однако, если вы отфильтруете различные стандарты, такие как SANS, SWE, CERT и т. д., вы найдете гораздо больше: https://www.sonarsource.com/products/codeanalyzers/sonarjava/rules.html#CERT

Также вы можете добавить поисковые ошибки с помощью плагина secbugs, который содержит более 125 шаблонов ошибок безопасности... Возможно, вам придется деактивировать избыточное (и это только для java...)

person Lonzak    schedule 27.11.2017

arrow_upward
-2
arrow_downward

Хочу обратить ваше внимание на инструмент PVS-Studio. Он ориентирован не только на контроль качества кода (поиск кода пахнет), но и на поиск реальных ошибок и потенциальных уязвимостей. Вот список, показывающий соответствие между PVS-Studio и диагностика CWE. Вскоре будет доступна работа в режиме кода CWE в интерфейсе PVS-Studio. Он запланирован на следующий релиз PVS-Studio 6.20.

PVS-Studio — инструмент для обнаружения ошибок в исходном коде программ, написанных на языках C, C++ и C#. Он работает в среде Windows и Linux. Еще одним приятным дополнением является возможность интегрировать PVS-Studio с SonarQube.

person AndreyKarpov    schedule 24.11.2017