sonarqube 社区版是不是提供任何类型的静态应用程序安全测试

Posted 2023-03-16

【中文标题】sonarqube 社区版是不是提供任何类型的静态应用程序安全测试

【英文标题】：Does sonarqube community edition provide any sort of static application security testingsonarqube 社区版是否提供任何类型的静态应用程序安全测试

【发布时间】：2021-05-13 09:14:32

【问题描述】：

我们使用 sonarqube 社区版，虽然它非常适合静态代码分析，但在安全分析方面我看不到任何重要的东西。它确实标记了安全漏洞，并为 OWASP Top 10 和 SANS Top 25 提供了安全报告。我想知道这是否是某些静态应用程序安全测试的一部分，或者我们需要使用开发人员/企业版本来实现完全成熟的端到端 SAST。 请澄清。

【参考方案1】：

您可以使用社区版获得安全漏洞和热点扫描。但具体分析，需要获取付费版本。以下是这些版本中与安全相关的功能的比较。

来源：https://www.sonarqube.org/downloads/