很多企业使用Sonarqube社区版作为静态分析工具,在开发阶段检测代码中的缺陷或安全漏洞。但是如果是作为SAST工具厂商,集成该引擎,则需要把Sonarqube中的检测规则与其它引擎的规则进行整合,例如下图,把Sonarqube中的一些规则与CWE标准编号对齐,对齐之后,再与OWASP TOP 2021对齐。这样不管使用了几个引擎,保证检测集只有一个owasp top 10 2021集合。其它的开发语言的各种规则也是类似,例如与GB/T 34944对齐,则需要逐一进行梳理。为了梳理,当初我们付出了很多事情,带着小伙伴梳理规则,矫正翻译的规则,调整错误示例和正确示例代码等。
(结束)
