sonarqube安全审计-华克斯信息

应用生命周期管理平台application lifecycle management

alm(application lifecycle management)实现软件开发从需求分析开始，历经项目规划、项目实施、配置管理、测试管理等阶段，直至被交付或发布的全过程管理。

alm实现软件生命周期全流程的标准化管理、轻松实现如下功能管理：

1、项目管理（项目计划和---、发布管理、报表）

2、需求管理（业务需求和测试需求、业务模型管理）

3、开发管理（集成配置管理、自动化构建管理）

4、测试计划（测试案例管理）

5、测试运行（测试任务调度、执行和审计）

6、缺陷管理（系统缺陷的集中管理和流转）

7、项目自定义（后台的客户定制化平台，包括客户化字段和工作流的自定义）

alm提供---的可扩展性和定制化管理，全开放的api接口和数据表架构，轻松实现与应用安全自动化测试平台（fortify、webinspect）、性能自动化测试中心（loadrun-ner企业版）、功能自动化测试工具（uft）进行无缝的集成，为用户实现完整的应用程序测试生命周期标准化流程。

sonarqube从七个维度来分析代码问题：

---性

安全性

可维护性

覆盖率

重复

大小

复杂度

问题

单论代码分析能力，sonarqube安全审计，拿sonarjava举例，对于大多数zui佳实践类型的问题，sonarqube安全审计，比如不该使用md5，sonarqube安全审计，不要用主线程sleep等，都还是查的---。但是真正---的安全漏洞，sonarqube安全审计，比如sql注入之类的污点传播类问题，一般涉及跨文件，函数，以及涉及对虚函数、数组、容器的处理，还要识别通过框架等配置的数据处理逻辑，那就---为力。

这也是sonarqube分析器跟fortify工具的差距所在。