Checkmarx与Sonarqube的比较
Checkmarx是一款SAST,主要扫描安全问题和最佳实践的问题;SonarQube主要是扫描代码质量和最贱实践问题,最近也添加了一些安全规则的扫描的支持。下面是比较两款工具的主要参数的不同点,仅供参考。
| 类型 | 参数 | Checkmarx | Sonarqube |
| 基本功能 | 支持语言 |
JavaScript,Java,PHP,Python, Swift,Go,Apex,Scala,.Net,C,C++, Android,Ruby,Perl,Groovy,PL/SQL, |
JavaScript, Java, PHP, Python, C,C++,C#,JS/TS,Kotlin,Flex, HTML5,ObjetiveC,Ruby,Scala,Swift,T-SQL,VB6,XML |
| 是否需要可构建的代码 | NO | Yes | |
| 是否支持扫描二进制文件 | NO | NO | |
| 是否支持自定义规则 | Yes | Yes | |
| 支持的框架结构(只列出常见的Java和JS的主要常用框架) |
Struts,JPA,Spring MVC/Boot,iBatis,Hibernate ,Jquery,Node.js,Ajax,Angular.js,Express.js,Handlebars, ReactJS,Vue.js |
Struts, Spring,Hibernate,Thymeleaf ReactJS,Vue.js,Flow |
|
| 是否可以修改漏洞的修改方案和漏洞描述 | Yes |
对于Java语言不支持,只针对C#和JS提供有限的支持, 可以添加扩展描述 |
|
| 在UI中显示源代码和调用栈互动 | Yes | NO,只显示漏洞触发点的代码。 | |
| 支持的安全漏洞类型 | 对于Java,JS和C#,每种语言都大于200种 | Java(35),JS(28),C#(13) | |
| 是否支持增量扫描 | 支持 | 对于C++支持,对于java不支持。 | |
| 工具主要焦点 | 主要集中代码安全和最佳实践 | 主要集中在代码质量和最佳实践,也支持一些安全类型 | |
| 报告格式 | PDF,Excel,XML,CSV | HTML,PDF(需要安装插件) | |
| 集成 | 是否提供IDE插件 | Yes | Yes |
| 支持CI/CD集成 |
Jenkins,Bamboo, TeamCity,Azure Pipelines, AWS CodeBuild, AWS Code Pipeline, Sonarqube,CLI |
Jenkins,Github Action, Gilab CI, Azure Pipelines, Bitbucket,Pipelines |
|
| 与其他工具集成能力 | 提供SDK,API和CLI与其他工具集成 | Jira,Confuluence,Butler。大部分的SAST都会提供插件与之集成。 | |
| 其他 | 客户支持 |
提供各种支持,包括专家一对一支持和技术支持。 有些支持需要支付费用才能提供。 |
在大陆没有官方支持 |
| 文档 | 完整的文档和手册以及培训资料 |
文档通常落后,导致一些人通过使用来编写书籍来指导, 不过通常也跟不上版本发布的节奏。 |
|
| 价格 | 高 | 社区版本免费,不过,有些功能必须要企业版才提供。 | |
|
Forrester wave for SAST Q1 2021 |
Accuracy | 2.40 | 2.00 |
|
Remidiation Guidance & education |
5.00 | 1.00 | |
| Breadth of Coverage | 4.20 | 1.80 | |
| Rule Management | 4.00 | 2.80 | |
| SDLC ingtegration | 3.40 | 2.65 | |
| 效率(只针对安全规则) | 误报率 | 高(可以通过改进规则降低) | 高(不能改规则) |
| 扫描速度 | 快 | 慢(需要编译,比较耗时) | |
| 准确度 | 高(Java高40-50%, JS高25-35%) | 低 |
*所有的分数都是基于0(弱)->5(强)。
如果是关注安全编码,Checkmarx还是更胜一筹,SonarQube对于代码质量的扫描效果更好,如果想两者兼而顾之,很多企业一般都是结合两种工具一起用于提高代码的质量和安全。Checkmarx也提供了plugin(Plugins | Checkmarx.com)供和SonarQube集成。
Checkmarx与Sonarqube的比较相关推荐
- CheckMarx与SonarQube集成
第一步,在SonarQube上安装CheckMarx插件,具体请参考Setting Up the SonarQube Plugin - Integrations Documentation - Con ...
- 提高(微)服务安全的非完全攻略
[编者按]千里之堤毁于蚁穴.服务安全有点类似于机场安检.工作人员会检查每一个人,禁止他们带某些东西上飞机等等,尽管99.9999%的人都不会劫持飞机.而机场采取的所有措施针对的都是0.0001%的情况 ...
- jenkins+sonarqube流水线脚本模板
pipeline { //这个任务在哪个主机上运行 //agent any//将这个项目运行在slave上 agent { label 'node1' }//参数化构建,主要设定git_version ...
- 2017.4.18 静态代码分析工具sonarqube+sonar-runner的安装配置及使用
配置成功后的代码分析页面: 可以看到对复杂度.语法使用.重复度等等都做了分析,具体到了每一个方法和每一句代码. 四种使用方式: sonarqube + sonar-runner sonarqube + ...
- sonarQube安装及本机扫描C#项目
因项目需要,需要使用sonarQube对代码进行扫描并查看,因对sonarQube不熟悉,所以先在本机搭建测试环境. 参考了张老师的博客:http://www.cnblogs.com/danzhang ...
- sonarqube使用教程
安装sonarqube请看 https://www.jianshu.com/p/9080642d4179 进入snarqube管理界面 http://ip:port 登录 账号:admin 密码:ad ...
- Docker运行sonarqube (代码质量检测平台)
onarqube是什么 SonarQube是用于持续检查代码质量的开源平台. 可用于持续集成,持续部署流程中的代码检测环节. idea和jenkins都提供了插件配合使用. liunx推荐配置环境 l ...
- Jenkins + sonarqube集成实现发布代码审计
说明:此配置只适合maven部署java代码 1.在Jenkins上安装插件 2.登录sonarqube在配置-->安全-->输入token名点击Generate创建一个token 复制生 ...
- 持续集成篇-- SonarQube代码质量管理平台的安装
IP:192.168.4.221 环境:CentOS 6.6.JDK7.MySQL5.1 .SonarQube-4.5.4(LTS) root用户操作 准备工作:已安装JDK7并配置好了环境变量 1 ...
最新文章
- 科大讯飞与优刻得、寒武纪等联合设立合肥智能语音创新发展有限公司
- [shell问答录]:命令、进程、子shell...
- matlab矩阵除以一个数字,matlab矩阵中每一行数除以一个数 | 学步园
- 黑客入侵交警计算机系统删交通违法记录牟利
- 技术问答集锦(17)JVM垃圾回收
- python 重定向到其他cmd_python 如何重定向到另一个终端?
- D - Send a Table (UVA - 10820)
- eclipse接入hadoop-2.7.6集群(hadoop2.x版本通用),含免费资源
- 西南大学计算机应用基础作业答案2020,2018秋【西南大学】[0483]《计算机应用基础》作业(资料)...
- 快速突破面试算法之哈希表篇
- 计算机 统计学考研,关于统计学考研,知无不言
- 三星固态硬盘装linux,三星T5 SSD制作ubuntu18.04随身携带即插即用与win10共享文件真爽~(简单粗暴安装大法一步到位)...
- 斐讯K2刷不死breed与第三方固件教程
- c语言大写字母A变小写a流程图,大小写字母转换
- Flutter 数据库ORM框架floor使用详解
- 不可不知的分组分析法
- 阿里云崩“出圈”了!保护业务还得加一道同云跨可用区容灾!
- 大数据起步之wormhole初识
- 数据库(mysql)表的五大约束条件
- 2021网刃杯CTF ez-sql