华南fortify sca-苏州华克斯公司

SonarQube和Fortify的区别对比

一直以来，有很多用户在问，源代码审计工具fortify sca，SoanrQube和Fortify都是白盒的源代码扫描工具，这两个产品有什么不一样的地方呢？苏州华克斯信息科技有限公司做为SonarQube和Fortify这两个产品在中国的he心合作伙伴，希望下边的内容能解答您的疑惑。

SonarQube是一个代码质量分析平台，便于管理代码的质量，可检查出项目代码的漏洞和潜在的逻辑问题。同时，华南fortify sca，它提供了丰富的插件，支持多种语言的检测。

主要的he心价值体现在如下几个方面：

?检查代码是否遵循编程标准：如命名规范，编写的规范等。

?检查设计存在的潜在缺陷：SonarQube通过插件Findbugs等工具检测代码存在的缺陷。

?检测代码的重复代码量：SonarQube可以展示项目中存在大量复zhi粘贴的代码。

?检测代码中注释的程度：源码注释过多或者太少都不好，影响程序的可读可理解性。

?检测代码中包类之间的关系：分析类之间的关系是否合理，源代码审计工具fortify sca，复杂度情况。  

Fortify SCA是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析，分析的过程中与它特有的软件安全漏洞规则集进行全mian地匹配、查找，从而将源代码中存在的安全漏洞扫描出来，并给予整理报告。

· Regex Rule for FileNameRegex and ContentRegex

· Structural Rule for Cloud Configuration in Nested Objects

· Structural Rule for Cloud Configuration in Single Object

· Structural Rule for Terraform Configuration in Nested Blocks

· Structural Rule for Terraform Configuration in Single Block

· Terraform Bad Practices: Untrusted Module in Use

语言支持更新:

· Apex

· Go

· HCL

· JavaScript/TypeScript

· JSON

· Kotlin

· PHP

· Python

· YAML

其他配置文件类型支持:

· configuration

· docker

· xml

一、对比分析我们使用WebGoat做为测试用例，来分析一下两个产品的差异。

1、使用工具：

?Fortify SCA ?SonarQube

2、使用默认规则，源代码扫描工具fortify sca，不做规则调优。

3、扫描后直接导*，不做审计。

二、扫描问题总览

Fortify SCA扫描结果报告：

从上边可以看出：Fortify扫描出Critical和High级别的漏洞共计757条。

SonarQube扫描出阻断和严重级别的漏洞为28条，关于软件质量问题有2K+条。

Fortify扫描出来的内容，基本上都是和安全相关的信息。例如：?Privacy Violation?Cross-Site Scripting: Reflected?Cross-Site Scripting: Persistent?SQL Injection