一、对比分析我们使用WebGoat做为测试用例，中国sonarqube修改检测规则，来分析一下两个产品的差异。

1、使用工具：

?Fortify SCA ?SonarQube

2、使用默认规则，不做规则调优。

3、扫描后直接导出报告，不做审计。

二、扫描问题总览

Fortify SCA扫描结果报告：

从上边可以看出：Fortify扫描出Critical和High级别的漏洞共计757条。

SonarQube扫描出阻断和严重级别的漏洞为28条，关于软件质量问题有2K+条。

三、Fortify扫描内容分析

Fortify扫描出来的内容，sonarqube修改检测规则，基本上都是和安全相关的信息。例如：?Privacy Violation?Cross-Site Scripting: Reflected?Cross-Site Scripting: Persistent?SQL Injection

?苏州华克斯信息科技公司{?源代码审计}

{源代码审计}应用安全expert团队帮助客户发现源代码中可能导致数据损坏、不可预测的行为、应用程序故障和其他问题等，Maximum extent的解决源代码中的质量缺陷、潜在安全漏洞、测试问题、及Java运行时缺陷等，代理商sonarqube修改检测规则，并出具源代码审计报告。

编程语言支持：Java、C/C++、OC、JavaScript、PHP、Python、.Net等20+种类型。

审计类型支持：安全漏洞（注入、跨站脚本、安全配置错误、敏感信息泄露、未验证的重定向和转发等）、质量缺陷（死代码、空方法、未释放的资源、过实的方法等）、编程风格（命名规则、变量常量与类型、表达式与语句、参数、注释、文件布局等）等100+类型。

白盒测试工具支持：Fortify、SonarQube、Coverity等。

华克斯科技始终秉承着“以客户为中心”的经营理念，在不断丰富产品线和提高服务能力的同时，也一直积极地进行区域拓展，目前已在北京、深圳设有办事处，以便为客户提供更好的本地服务。

安全培训服务

产品培训

针对major特定的产品进行使用培训和进阶培训，如下：

应用安全：Fortify、SonarQube、Checkmarx、Coverity、Webinspect、Appscan。

性能测试：Loadrunner。

功能测试：UFT（QTP）。

应用生命周期管理：ALM（QC）。

（2）、定制化培训

针对客户的不同行业、不同需求、不同项目情况进行定制化的高阶培训，如漏洞定制化规则（Fortify、SonarQube）、国际应用安全标准（CWE、OWASP）培训、公司整体应用代码质量的提升方案、公司整体应用安全方案的建设和推广等。

sonarqube修改检测规则-苏州华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司在行业软件这一领域倾注了诸多的热忱和热情，华克斯一直以客户为中心、为客户创造价值的理念、以品质、服务来赢得市场，衷心希望能与社会各界合作，共创成功，共创辉煌。相关业务欢迎垂询，联系人：华克斯。