Comments 5
Интересно... Но у меня стоит плагин от SonarQube, который тоже умеет в статический анализ. К тому же он более комплексный: бесплатный self-hosted сервер, другие ошибки показывает. Ладно, генерировать эксплойты не умеет, но не так чтобы это было критично.
Можете подсказать киллер-фичи своего решения в сравнении с SonarQube?
Вы прямо пересказали мем :)
Когда в какой-либо компании команда по обеспечению безопасной разработки приходит к разработчикам на KickOff, начинает рассказывать про SAST/DAST/SCA... Потом идут вопросы. В 99,9999% случаев вопрос типа "..у нас же есть божественный SonarQube, чем все ваши эти инструменты лучше?".
А разве плагины безопасности в SonarQube стали бесплатными?
К тому же он более комплексный: бесплатный self-hosted сервер, другие ошибки показывает.
Здесь как раз заложена значительная разница. Наш продукт нацелен на решение задач безопасной разработки, и в связи с этим обладает функциями и особенностями, которые обеспечивают более глубокий анализ уязвимостей.
Разница начинается со статического анализа. Кратко о том, как устроен наш анализ с использованием технологии символьного исполнения, можно прочитать в этой статье: https://habr.com/ru/companies/pt/articles/724470/.
Также есть и менее фундаментальные на первый взгляд отличия: инструменты для триажа уязвимостей (ассистент разбора уязвимостей, который помогает отсеять ложные срабатывания), отображение диаграмм потока данных, эксплойтов и их дополнительных условий.
В целом, не совсем корректно сравнивать PT Application Inspector и SonarQube из-за изначально разных целей у продуктов.
Если говорить о нашем enterprise-решении, то стоит обратить внимание и на другие возможности для покрытия всего цикла безопасной разработки, такие как DAST и SCA с возможностью контекстного анализа.
А что там с поддержкой вима? Я вижу, что плагина нет, а планы — есть?
Безопасность без боли: плагины, которые упрощают жизнь разработчикам