SonarQube 是開源的代碼質量分析平臺, 用來持續分析和評測項目源代碼的質量。{SonarQube }可以檢測出項目中的重復代碼、潛在bug、代碼規范、安全性漏洞等問題，并在SonarQube平臺上查看、審計等。

關鍵功能

1. 支持27種編程語言的代碼質量分析

2. 支持4000+類代碼質量和安全漏洞規則

3. 指導開發人員經驗

4. 支持自動分支分析

5. 無需二次開發實現DevOps流程自動化

6. 支持50+插件集成，具體請參考蘇州華克斯信息科技有限公司網站說明

{源代碼審計}應用安全expert團隊幫助客戶發現源代碼中可能導致數據損壞、不可預測的行為、應用程序故障和其他問題等，Maximum extent的解決源代碼中的質量缺陷、潛在安全漏洞、測試問題、及Java運行時缺陷等，并出具源代碼審計報告。

編程語言支持：Java、C/C++、OC、Javascript、PHP、Python、.Net等20+種類型。

審計類型支持：安全漏洞（注入、跨站腳本、安全配置錯誤、敏感信息泄露、未驗證的重定向和轉發等）、質量缺陷（死代碼、空方法、未釋放的資源、過實的方法等）、編程風格（命名規則、變量常量與類型、表達式與語句、參數、注釋、文件布局等）等100+類型。

白盒測試工具支持：Fortify、SonarQube、Coverity等。

SonarQube和Fortify的區別對比

一直以來，有很多用戶在問，SoanrQube和Fortify都是白盒的源代碼掃描工具，這兩個產品有什么不一樣的地方呢？蘇州華克斯信息科技有限公司做為SonarQube和Fortify這兩個產品在中國的he心合作伙伴，希望下邊的內容能解答您的疑惑。

SonarQube是一個代碼質量分析平臺，便于管理代碼的質量，可檢查出項目代碼的漏洞和潛在的邏輯問題。同時，它提供了豐富的插件，支持多種語言的檢測。

主要的he心價值體現在如下幾個方面：

?檢查代碼是否遵循編程標準：如命名規范，編寫的規范等。

?檢查設計存在的潛在缺陷：SonarQube通過插件Findbugs等工具檢測代碼存在的缺陷。

?檢測代碼的重復代碼量：SonarQube可以展示項目中存在大量復zhi粘貼的代碼。

?檢測代碼中注釋的程度：源碼注釋過多或者太少都不好，影響程序的可讀可理解性。

?檢測代碼中包類之間的關系：分析類之間的關系是否合理，復雜度情況。

Fortify SCA是一個靜態的、白盒的軟件源代碼安全測試工具。它通過內置的五大主要分析引擎：數據流、語義、結構、控制流、配置流等對應用軟件的源代碼進行靜態的分析，分析的過程中與它特有的軟件安全漏洞規則集進行全mian地匹配、查找，從而將源代碼中存在的安全漏洞掃描出來，并給予整理報告。