SonarQube 和 Checkmarx CxSAST & CxSCA 有什么区别?

What is the difference between SonarQube and Checkmarx CxSAST & CxSCA?

我已将 SonarQube、Checkmarx SAST 和 SCA 集成到 Azure DevOps 构建管道中。我可以毫无问题地查看 SonarQube 和 Checkmarx 报告。

我有以下问题。有人可以澄清一下吗:

  1. SonarQube 和 Checkmarx CxSAST 有什么区别?
  2. 这两者的共同点是什么?
  3. SonarQube 和 Checkmarx 在哪些情况下更受欢迎?

如果我将其归结为一个短语,SonarQube 用于确保代码质量,而 CheckMarx 用于确保系统运行 代码的安全。

SonarQube 着眼于几个方面,包括代码单元测试的代码覆盖率、重复率,以及通过代码静态分析发现的代码质量问题。

另一方面,CheckMarx 只分析代码流以及输入和输出。它寻找可能由最终用户提供的输入直接用于控制行为和其他“攻击向量”的情况。