Différence entre Sonarqube et Fortify?
Quelqu'un peut-il me dire quelle est la différence entre Sonarqube et Fortify? Les deux sont des outils d'analyse de code statique. J'ai découvert que Fortify est plus enclin à la sécurité car il fournit des informations sur les vulnérabilités incluses dans Owasp, Sans etc. Sonarqube affiche également ces informations.
Lorsque vous comparez le produit, c'est bon d'avoir une liste de choses, voici ma liste, laissez-moi savoir ce que vous pensez.
Fortifier
- analyse statique
- impossible d'ajouter des règles, à l'aide de la configuration en tant que code
- règles exclusives
- cas d'utilisation de téléchargement manuel de fichier, pas de moyen facile d'intégration de pipeline
- ne fournit pas de perspectives de branche GIT, d'amélioration sur d'autres branches
- fournir uniquement des métriques de code de sécurité
- pas opensource
- n'a que le modèle de support payé
Sonarqube
- analyse statique
- peut ajouter des règles, à l'aide de la configuration comme code
- a des règles standard basées sur la langue utilisée
- code de téléchargement de code automatisé, a un outillage pour les principaux cadres
- fournir des perspectives de branche GIT, des améliorations sur d'autres branches
- fournir toutes les métriques de qualité de code, y compris la sécurité
- open source
- a payé le modèle de support
- hôte Cloud Sonarcloud.io
FORTIFY classe essentiellement les problèmes de qualité du code en termes d'impact de la sécurité sur la solution. Alors que Sonarqube est plus d'une analyse de code statique qui vous donne également des "odeurs de code", bien que Sonarqube énumère également les vulnérabilités dans le cadre de son analyse.
Outre la plus grande différence, c'est le coût .. Sonarqube est libre d'utiliser (avec support communautaire) alors que Fortify a besoin d'une licence coûteuse.
La principale différence est la qualité des résultats. FORTIFY est une solution de qualité de l'entreprise, Sonarqube travaille fort mais n'est pas dans la même ligue.