#SonarQube and C
עדכון אחרון: אוקטובר 2022
SonarQube מציע סריקת קוד סטטי (SAST) של מעל 25 שפות. אחת הפופולריות ביניהן היא #C.
הכלי יודע לתמוך ב -4 היבטים:
Bugs, Security Vulnerability, Security Hotspot, Code Smell וכו',
תוכן עניינים
Bugs
-
- Null pointers should not be dereferenced
-
- Recursion should not be infinite
-
- Recursion should not be infinite
Security Vulnerability
-
- Regular expressions should not be vulnerable to Denial of Service attacks
-
- I/O function calls should not be vulnerable to path injection attacks
-
- OS commands should not be vulnerable to command injection attacks
Security Hotspot
-
- Dynamically executing code is security-sensitive
-
- Changing or bypassing accessibility is security-sensitive
-
- Controlling permissions is security-sensitive
Code Smell
-
- Trivial properties should be auto-implemented
-
- Cognitive Complexity of methods should not be too high
-
- "if … else if" constructs should end with "else" clauses
C# Coverage of OWASP TOP 10 2017
SonarQube מספקת דו"ח סטטוס עדכני של מצב הקוד שלך ביחס ל- 10 החולשות הקריטיות ביותר,
כפי שהוגדרו ע"י הסטנדרט OWASP העולמי.
| Security Vulnerability |
Security Hotspot |
||
|---|---|---|---|
| A1 | Injection |  |
|
| A2 | Broken Authentication | |
|
| A3 | Sensitive Data Exposure | |
|
| A4 | XML External Entities (XXE) | |
– |
| A5 | Broken Access control | |
|
| A6 | Security misconfigurations | |
|
| A7 | Cross Site Scripting (XSS) | |
|
| A8 | Insecure Deserialization | |
|
| A9 | Using Components with known vulnerabilities | |
– |
| A10 | Insufficient logging and monitoring | – | |
לתשומת לב: תמיכה בדו"חות Security ו – OWASP קיימת רק במהדורת SonarQube Enterprise .
חברת ALM-Toolbox היא המפיצה הרשמית היחידה של חברת SonarSource (יצרנית SonarQube , SonarCloud ו- SonarLint) בישראל ובמדינות נוספות, ומספקת תמיכה, הדרכות, יעוץ, שירות מנוהל ורשיונות ל- SonarQube ולמגוון כלי פיתוח ו- DevOps משלימים. לפרטים נוספים פנו אלינו sonarqube@almtoolbox.com או טלפונית 072-240-5222
קישורים רלבנטים:
- אתר SonarQube ישראל
- הקלטת וובינר – הסבר על SonarQube & Code Security (עברית)
- הקלטת וובינר עם סיפור לקוח: SonarQube @ Dell
