Я ищу инструмент статического тестирования безопасности приложений (SAST), и я не могу позволить себе коммерческие продукты (например, Checkmarx).
SonarQube — отличный инструмент для статического анализа кода, но я заметил, что здесь всего несколько правил типа «Уязвимости» («Уязвимости» равны «Безопасности», я прав?).
Я планирую расширить некоторые пользовательские плагины, включая множество правил об уязвимостях (возможно, сотни правил для C/C++, Java и других языков, которые поддерживает SonarQube).
Это практичный способ сделать SonarQube инструментом, похожим на Checkmarx? Или SonarQube подходит для статического тестирования безопасности? (Я не уверен, что Sonar Scanner подходит для сканирования проблем с безопасностью)
Большое спасибо!