中国sonarqube 扫描报告-华克斯信息
应用生命周期管理平台{ApplicationLifecycleManagement}

应用生命周期管理平台Application Lifecycle Management

ALM(Application Lifecycle Management)实现软件开发从需求分析开始,sonarqube 扫描报告,历经项目规划、项目实施、配置管理、测试管理等阶段,直至被交付或发布的全过程管理。

ALM实现软件生命周期全流程的标准化管理、轻松实现如下功能管理:

1、项目管理(项目计划和跟踪、发布管理、报表)

2、需求管理(业务需求和测试需求、业务模型管理)

3、开发管理(集成配置管理、自动化构建管理)

4、测试计划(测试案例管理)

5、测试运行(测试任务调度、执行和审计)

6、缺陷管理(系统缺陷的集中管理和流转)

7、项目自定义(后台的客户定制化平台,包括客户化字段和工作流的自定义)

ALM提供强大的可扩展性和定制化管理,全开放的API接口和数据表架构,轻松实现与应用安全自动化测试平台(Fortify、Webinspect)、性能自动化测试中心(Loadrun-ner企业版)、功能自动化测试工具(UFT)进行无缝的集成,为用户实现完整的应用程序测试生命周期标准化流程。









一、对比分析我们使用WebGoat做为测试用例,来分析一下两个产品的差异。

1、使用工具:

?Fortify SCA ?SonarQube

2、使用默认规则,不做规则调优。

3、扫描后直接导出报告,不做审计。

二、扫描问题总览

Fortify SCA扫描结果报告:



从上边可以看出:Fortify扫描出Critical和High级别的漏洞共计757条。

SonarQube扫描出阻断和严重级别的漏洞为28条,关于软件质量问题有2K+条。


三、Fortify扫描内容分析






Fortify扫描出来的内容,中国sonarqube 扫描报告,基本上都是和安全相关的信息。例如:?Privacy Violation?Cross-Site Scripting: Reflected?Cross-Site Scripting: Persistent?SQL Injection


SonarQube从七个维度来分析代码质量问题:

可靠性

安全性



可维护性

覆盖率



重复



大小

复杂度

问题

单论代码分析能力,拿SonarJava举例,对于大多数zui佳实践类型的问题,中国sonarqube 扫描报告,比如不该使用MD5,不要用主线程sleep等,都还是查的不错。但是真正严重的安全漏洞,比如SQL注入之类的污点传播类问题,一般涉及跨文件,函数,代理商sonarqube 扫描报告,以及涉及对虚函数、数组、容器的处理,还要识别通过框架等配置的数据处理逻辑,那就无能为力。

这也是SonarQube分析器跟Fortify工具的差距所在。



中国sonarqube 扫描报告-华克斯信息由苏州华克斯信息科技有限公司提供。行路致远,砥砺前行。苏州华克斯信息科技有限公司致力成为与您共赢、共生、共同前行的战略伙伴,更矢志成为行业软件具有竞争力的企业,与您一起飞跃,共同成功!

苏州华克斯信息科技有限公司
姓名: 华克斯 先生
手机: 13862561363
业务 QQ: 3521016152
公司地址: 苏州工业园区新平街388号
电话: 0512-62382981
传真: 0512-62382981