من نمیتوانم واکنش واضحی درباره این موضوع داشته باشم، بنابراین تصمیم گرفتم که در اینجا به این امید که کسی پاسخی را می داند پست کند:
آیا توانایی اسکن SonarQube در تمام آسیب پذیری های ده ساله 2017 OWASP ؟
من اشاره کردم که هنگام اسکن کردن کد با SonarQube با استفاده از JLint (؟)، نتایج شامل مسائلی است که در گروه آسیب پذیری قرار می گیرند با برچسب owasp، در حالی که دیگران به دسته های "اشکالات" می افتند، اما همچنین برچسب owasp دارند . به عنوان مثال، سرریز بافر به عنوان یک "اشکال"، نه "آسیب پذیری" طبقه بندی شده است، که باعث می شود برای ارزیابی اثربخشی قابلیت تست SAST SonarQube مشکل باشد.
هر گونه بازخورد بسیار قدردانی شد، با تشکر
