我想在我们的 CICD 管道上实现 SAST,但除了 sonarqube 之外我找不到开源 SAST 工具。有没有 sonarqube 的替代工具?
我只是想探索其他工具,但找不到任何开源工具..
不,SonarQube 不是唯一可用的开源静态应用程序安全测试 (SAST) 工具。事实上,还有许多其他优秀的开源 SAST 工具可供选择。例如,SpotBugs是一个基于Java的代码分析器,可以检测各种类型的错误和缺陷,包括空指针和潜在的数组越界访问。另一个工具是FindBugs,它也是基于Java的,可以识别潜在的错误和漏洞,例如内存泄漏和死锁。此外,我们目前正在开发一种名为 Codigger 的工具,这是一种智能代码质量检查工具,可以执行系统的代码检查以提供干净的代码。