#sonarqube #coverity #sast #continuous-inspection
Вопрос:
Существует ли какое-либо репрезентативное сравнение между основными платформами непрерывного контроля и статического тестирования безопасности приложений (SAST), такими как SonarQube, Coverity, CodeScene, TeamScale и т.д.?
Ответ №1:
Хотя я был бы рад, если бы было доказано, что я ошибаюсь, я думаю, что ответ «нет«, нет такого общедоступного сравнения, которое включало бы коммерческие инструменты.
Первая причина заключается в том, что коммерческие поставщики обычно предлагают свои инструменты потенциальным клиентам только на условиях соглашения о неразглашении. Таким образом, хотя потенциальные клиенты часто проводят собственное внутреннее сравнение перед покупкой, они не могут опубликовать результаты.
Вторая причина связана с вашим запросом на «репрезентативное» сравнение. Я предполагаю, что вы имеете в виду сравнение, которое позволит точно предсказать, как будут работать инструменты в вашей среде разработки. К сожалению, ценность того или иного инструмента часто во многом зависит от языков программирования, культуры разработки и внутренней политики принимающей организации. Например, некоторые инструменты устанавливают приоритеты с низким уровнем ложноположительных результатов (низкий уровень шума), в то время как другие устанавливают приоритеты, не упуская ничего из виду (низкий уровень ложных отрицательных результатов), и то, какой из них предпочтительнее, в высшей степени субъективно и зависит от организации. В пространстве проектирования инструментов существует ряд измерений, которые также объективно не сопоставимы, и инструменты находятся в разных точках этого пространства.
Однако, хотя поставщикам инструментов требуется NDA для выполнения оценки, в остальном она обычно бесплатна (помимо того времени, которое вы решите потратить на нее). Если вы находитесь на рынке коммерческого инструмента, вы можете связаться с заинтересованными поставщиками, чтобы договориться об оценке.
Раскрытие информации: Я являюсь бывшим сотрудником одного из поставщиков (Coverity/Synopsys) и имею текущие финансовые интересы в отношении нескольких поставщиков.
Комментарии:
1. Спасибо вам за ваш «отказ от ответа». Вы правы, я должен сделать свою домашнюю работу и подготовить сравнение самостоятельно. Я просто хотел знать, есть ли что-то, с чего я могу начать.