有人能告诉我SonarQube和Fortify之间的区别吗?它们都是静态代码分析工具。我发现Fortify更偏向于安全,因为它提供了有关OWASP,SANS等漏洞的信息。SonarQube也显示此信息。
3个回答
13
Fortify基本上将代码质量问题分类为对解决方案的安全影响。而Sonarqube更像是一个静态代码分析工具,还可以给出"代码异味",尽管Sonarqube也作为其分析的一部分列出了漏洞。
然而,最大的区别在于成本。 Sonarqube可免费使用(带有社区支持),而Fortify需要购买许可证,价格昂贵。
- Soumen Mukherjee
4
4不仅如此,对于Fortify而言,在进行安全分析时,试图识别所有没有经过净化系统的点,并在数据流上应用一些安全规则等等......据我记得,Sonarqube并没有进行如此深入的分析。 - SPoint
2实际上,SonarQube的付费版本提供了数据跟踪/污染分析功能。如果您正在考虑Fortify,则可能正在考虑购买某些东西。 - WillD
SonarQube云版本(SonarCloud)只有在您不介意将您的代码变成公共可访问时才是免费的。 - Luis Gouveia
关于Fortify定价的一个随机问题,许可证的价格是多少? - jadavparesh06
10
比较产品时,有个清单是很好的,这是我的清单,请告诉我您的想法。
Fortify
- 静态分析
- 无法添加规则,使用配置作为代码
- 专有规则
- 手动文件上传用例,没有易于管道集成的方法
- 不提供git分支视角,相对其他分支的改进
- 仅提供安全代码度量
- 不是开源的
- 只有付费支持模式
SonarQube
- 静态分析
- 可以添加规则,使用配置作为代码
- 根据使用语言具有标准规则
- 自动化的代码上传用例,具有主要框架的工具
- 提供git分支视角,相对其他分支的改进
- 提供所有代码质量指标,包括安全性
- 开源
- 有付费支持模式
- 免费云托管sonarcloud.io
- Max Barrass
2
非常好的解釋,基於各種觀點。除了現在有一個Jenkins插件可用於與管線集成,對每次上傳進行評分,我同意Fortify方面的所有觀點。 - Pravin Jadhav
SonarQube有一个社区,如果您没有付费支持,可以在那里获得一些帮助。 - G. Ann - SonarSource Team
-3
主要的区别在于结果的质量。Fortify是企业级解决方案,SonarQube虽然努力工作,但并不处于同一水平。
- Jose Sanchez
2
2请问您能否详细描述一下“结果质量”的含义?如果您的意思与@Max Barrass在他的回复中所写的相同,您也可以等到有足够的声望后投票支持他的帖子。谢谢! - fose
如果您能详细说明Fortify胜过Sonarqube的方式,那将会很有帮助。 - IEnjoyEatingVegetables
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 128 SonarQube和SonarLint的区别
- 10 声纳和SonarQube之间的区别
- 8 Authenticode、SPC和Java CodeSign之间的区别是什么?
- 9 Phing和PHPUnderControl之间的区别是什么?
- 4 SonarQube Runner和SonarQube.MSBuild.Runner之间的关系
- 4 在SonarQube中,sonar.sources和sonar.tests之间的区别是什么?
- 14 Fortify SCA和Fortify SSC之间的区别
- 213 主题、用户和主体之间的含义和区别是什么?
- 3 Fortify on-demand和on-premise的区别
- 8 Sonarqube的CPD是什么?