![](/img/trans.png)
[英]in SonarQube, why 'Sonar way' quality profile doesn't contain all the rules from SonarJava repository
[英]In SonarQube, how reliable is the 'Sonar way' quality profile for security reviews?
我是否可以依靠此配置文件来检查众所周知的安全问题(例如,代码注入、弱加密、xss 等,或者我应该使用另一个默认配置文件(或者是否有可以导入的“推荐”配置文件) ?)。
一般来说,“Sonar Way”质量配置文件是起点,应该被视为基线。 大多数团队都应该学习和发展,并且在一段时间内应该提高代码的安全性和质量要求方面的 BAR。
因此,要回答您的问题,可以从 Sonar Way 开始,并制定计划并希望扩展质量配置文件以满足您的团队/组织的代码质量和代码安全目标。
无论您指出的一些安全问题(例如代码注入)多么重要,使用 DAST 工具可以更合适地检测 XSS。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.