1 工具介绍 SonarQube 是一个自我管理的自动代码审查工具,可系统地帮助您交付干净的代码。作为我们 Sonar 解决方案的核心元素,SonarQube...
代码质量平台Sonarqube
Sonar Qube环境搭建安装docker-compose使用docker搭建version: "3.1"services: db: image: postgres container_name: ...
SonarQube和Fortify的区别对比
一直以来,有很多用户在问,SoanrQube和Fortify都是白盒的源代码扫描工具,这两个产品有什么不一样的地方呢?苏州华克斯信息科技有限公司做为SonarQube和Fortify这两个产品在中国的...
sonar的安装以及使用
SonarQube是管理代码质量一个开放平台,可以快速的定位代码中潜在的或者明显的错误,下面将会介绍一下这个工具的安装、配置以及使用。1. 简介1. sonar是什么 Sona...
夯实供应链安全 – 解密对华黑客组织ATW的供应链攻击伎俩
2021年10月期间,网络上出现了一支名为AgainstTheWest(以下简称“ATW”)的黑客组织,特别针对中国、朝鲜和俄罗斯为主要目标,实施有组织的大规模网络攻击,窃取相关受害企业和组织机构的数...
轻量无损排查工具箱发布支持SonarQube API 未授权访问漏洞(CVE-2020-27986)扫描插件
轻量无损排查工具箱发布支持SonarQube API 未授权访问漏洞(CVE-2020-27986)扫描插件漏洞概述Sonar(SonarQube)是一个开源平台,用于管理源代码的质量。Sonar 不...
SonarQube自定义规则开发
本篇介绍了如何使用java来进行SonarQube的自定义规则插件的开发基本上就是直接翻译Writing Custom Java Rules 101这个SonarQube的官方Readme内容建议具有...
如何使用njsscan识别Node.JS应用中的不安全代码
关于njsscan njsscan是一款功能强大的静态应用程序测试(SAST)工具,可以帮助广大研究人员找出Node.JS应用程序中不安全的代码模式。该工具使用了libsast的...
在sonSonarqube上编写XPath规则做SQL拼接代码检测
我们的目的,扫描出来SQL拼接,SQL拼接如果没有用预编译从合规来说就是不对的。Sonar测试环境安装Sonarqube的docker化(有的人连docker都不会用,😔):version: &nbs...
关于网传VueJS漏洞浅析
过分的自大就是可悲的。言归正传,说一下这个事情。首先,这个文件来源于国家某网络安全部门,属于涉密的,以纸质发函形式下发,这就是为什么你看不到红头文件,按照规定,人行还有微信截图发送的人违规了,当然,我...
SonarQube api 未授权访问(CVE-2020-27986)漏洞风险通告,腾讯安全支持检测拦截
腾讯安全攻防团队A&D Team腾讯安全 企业安全运营团队SonarQube系统在默认配置下,会将通过审计的源代码上传至SonarQube平台。由于SonarQube缺少对API接口访问的鉴权...