SonarQube从七个维度来分析代码质量问题：

可靠性

安全性

可维护性

覆盖率

重复

大小

复杂度

问题

单论代码分析能力，拿SonarJava举例，对于大多数zui佳实践类型的问题，比如不该使用MD5，不要用主线程sleep等，代理商sonarqube 规则，都还是查的不错。但是真正严重的安全漏洞，比如SQL注入之类的污点传播类问题，一般涉及跨文件，华南sonarqube 规则，函数，以及涉及对虚函数、数组、容器的处理，还要识别通过框架等配置的数据处理逻辑，代理商sonarqube 规则，那就无能为力。

这也是SonarQube分析器跟Fortify工具的差距所在。

{AppScan}?黑盒扫描工具

{AppScan}黑盒扫描工具 

AppScan? 是一个适合safety engineering的 Web 应用程序和 Web 服务渗透测试解决方案。

关键功能：

· 对现代 Web 应用程序和服务执行自动化的动态应用程序安全测试 (DAST) 和交互式应用程序安全测试 (IAST)。

· 支持 Web 2.0、JavaScript 和 AJAX 框架的all round JavaScript 执行引擎。

· 涵盖 XML 和 JSON 基础架构的REST Web 和  SOAP 服务测试支持 WS-Security 标准、XML 加密和 XML 签名。

· 详细的漏洞公告和修复建议。

· 40 多种合规性报告，包括支付卡行业数据安全标准 (PCI DSS)、支付应用程序数据安全标准 (PA-DSS)、ISO 27001 和 ISO 27002，中国sonarqube 规则，以及 Basel II。

.提供的自定义功能和可扩展性。

Fortify 22.2.0 中的新增功能

Fortify SSC软件安全中心

以下功能已添加到 Fortify 软件安全中心。

优先级覆盖功能

管理员现在可以允许用户更改或覆盖分配给问题的优先级值。随着优先级覆盖功能的引入，引擎优先级选项被添加到分组依据菜单中。此分组选择根据标识问题的引擎分配的原始优先级值返回问题。

确定ScanCentral SAST 作业的优先级

在此版本中，您可以从 SCANCENTRAL SAST 选项卡将挂起的扫描请求移动到作业队列中的di一个位置。有关详细信息，请参阅用户指南中的“确定 ScanCentral SAST 扫描请求的优先级”。

支持 Kubernetes 部署的 Tomcat 访问日志模式

Fortify Software Security Center 现在支持更改 Kubernetes 部署的 Tomcat 访问日志模式。有关详细信息，请参阅用户指南中的“为 Docker 镜像上的其他字段配置 Apache Tomcat 访问日志”。

华南sonarqube 规则-华克斯由苏州华克斯信息科技有限公司提供。行路致远，砥砺前行。苏州华克斯信息科技有限公司致力成为与您共赢、共生、共同前行的战略伙伴，更矢志成为行业软件具有竞争力的企业，与您一起飞跃，共同成功!