[研究]SonarQube是否有做原始碼安全性掃描?
2025-03-07
https://www.sonarsource.com/products/sonarqube/downloads/
(下圖)用Security搜尋,
SonarQube Docs
https://docs.sonarsource.com/
SonarQube Community Build Documentation
https://docs.sonarsource.com/sonarqube-community-build/
輸入 "security hotspots" 查詢,選查詢結果第一個
https://docs.sonarsource.com/sonarqube-community-build/user-guide/security-hotspots/
What is a Security Hotspot?
Security Hotspot highlights a security-sensitive piece of code that the developer needs to review. Upon review, you'll either find no threat, or you will need to apply a fix to secure the code.
什麼是安全熱點?
安全熱點會反白顯示開發人員需要檢查的安全敏感程式碼片段。
********************************************************************************
在 SonarQube 教育訓練時,問了講師確認了,SonarQube Community Build (社群建置版)、開源版、免費版等 SonarQube 都沒有做源碼安全檢測,只做原始碼品質(源碼品質)檢測,,付費版本才有做類似 Fortify SCA (Fortify Static Code Analyzer) 或 Checkmarx 原始碼靜態分析測試。
(完)
沒有留言:
張貼留言