הבהרה בנוגע למהדורה החינמית של SonarQube וסריקת Code Security
בתקופה האחרונה אנחנו נשאלים רבות על SonarQube ועל מה שיש או אין במהדורה החינמית,
ומתוך השאלות שמתי לב לתופעה הבאה:
אנשים מנסים את SonarQube על שפות שנתמכות במהדורה החינמית
(השפות JavaScript, C#, Java, Python ושפות נוספות** ),
וחושבים שיקבלו גם סריקת קוד Security (מתוך חוסר היכרות עם המהדורות של המוצר),
אבל הכלי לא מאתר בעיות Security (כי סריקה מסוג זה לא כלולה במהדורה החינמית).
ואז:
מי שמודע לכך שיש בעיות security בקוד שלו – ורואה שהכלי לא גילה אותן –
מקבל את הרושם (השגוי) שהמוצר לא באמת תופס בעיות Security !
הרושם כמובן שגוי – היכולת הזו נמצאת רק במהדורות המסחריות של המוצר
(כלומר אלה שבתשלום: Developer Edition, Enterprise Edition, Data Center).
ובנוסף:
- החל ממהדורת SonarQube Developer Edition יש סריקה מלאה של כל חוקי ה-Security.
- החל ממהדורות SonarQube Enterprise ניתן לקבל גם דו"חות Security (ובפרט גם דו"חות מצב הקוד ביחס לסטדרטים נפוצים כגון OWASP Top 10 ונוספים).
למידע נוסף:
כדי לעמוד על שאר ההבדלים בין המהדורות – אפשר לקרוא מאמר שלנו שמסביר על ההבדלים בין מהדורות SonarQube,
וגם לקבל מאיתנו טבלה השוואתית מפורטת שאנחנו יצרנו ומעדכנים לעת לעת.
כדי להתנסות בסריקה של המוצר ניתן לפנות אלינו ולקבל הדגמה של המוצר או trial מלא של המוצר:
sonarqube@almtoolbox.com או טלפונית 072-240-5222
** אילו שפות נתמכות במהדורה החינמית?
השפות הבאות נתמכות חלקית במהדורה החינמית:
CloudFormation, CSS, Docker, Go, HTML, Java, JavaSCript, Kotlin, Kubernetes, PHP, Python, Ruby, Scala,Terraform, TypeScript, VB.NET, XML
חשוב לשים לב (כפי שמוסבר לעיל) – אע"פ שהשפות הנ"ל נתמכות במהדורה החינמית – לא כל חוקי הסריקה זמינים במהדורה החינמית!
