++SonarQube and C
SonarQube מציע סריקת קוד סטטי (SAST) של כ-30 שפות. אחת הפופולריות ביניהן היא ++C.
הכלי מציע למעלה מ- 650 חוקים ל- ++C (חלק גדול מהם יחודיים), ויודע לתמוך ב -5 היבטים:
Bugs, Security Vulnerability, Security Hotspot, Code Smell ו- Quick fix .
תוכן עניינים:
שאלות? ניתן לפנות אלינו ונשמח לענות! מייל sonarqube@almtoolbox.com (טלפון בהמשך המאמר)
Bugs (באגים)
ב- SonarQube למעלה מ- 130 חוקים ל- ++C, המוצאים באגים ומסבירים כיצד לתקן אותם.
להלן מספר דוגמאות:
-
- All code should be reachable
-
- Dynamically allocated memory should be released
-
- Null pointers should not be dereferenced
Security Vulnerability (חולשות אבטחה)
ב- SonarQube יש כיום 13 חוקים ל- ++C, המוצאים חולשות אבטחה ומסבירים כיצד לתקן אותם.
להלן מספר דוגמאות:
-
- "memset" should not be used to delete sensitive data
-
- Accessing files should not introduce TOCTOU vulnerabilities
-
- Weak SSL/TLS protocols should not be used
Security Hotspot
ב- SonarQube למעלה מ- 18 חוקים ל- ++C, המוצאים Security hotspots ומסבירים כיצד לתקן אותם.
להלן מספר דוגמאות:
-
- Setting loose POSIX file permissions is security-sensitive
-
- Using "strncpy" or "wcsncpy" is security-sensitive
-
- Using weak hashing algorithms is security-sensitive
Code Smell
ב- SonarQube למעלה מ- 480 חוקים ל- ++C, המוצאים Code Smells ומסבירים כיצד לתקן אותם.
להלן מספר דוגמאות:
-
- Collapsible "if" statements should be merged
-
- Recursion should not be used
-
- "goto" statements should not be used
מה הופך את SonarQube למתאים במיוחד ל ++C ?
- מגוון רחב של חוקים (מעל 650)
- התאמה לסטנדרטים רבים של ++C / C
- גישת "Clean Code"
- סריקה מהירה! כולל סריקה אינקרמנטלית (Incremental analysis) רק על הקוד שהשתנה,
וכן סריקה מקבילית (Multi-threaded analysis) לניצול מיטבי של משאבי מחשוב - איתור באגים הקשורים לאבטחת מידע ו- Security
- אינטגרציה חזקה מול תהליכי פיתוח ו- CI
- תמיכה איכותית של היצרן, כולל אפשרות לתמיכה בארץ או שירות מנוהל (שלנו) החוסך מכם את הצורך להתעסק בתחזוקת השרת ובתפעולו השוטף
סרטון הדגמה:
להלן סרטון הדגמה של SonarQube בשילוב ++C.
הוספנו לנוחיותכם נקודות מרכזיות על ציר הזמן של הוידאו (אפשר לקפוץ אליהם דרך הנגן):
- 04:03 – הדגמה של Maintainability rules
- 07:25 – הדגמה של Reliability rules
- 11:10 הדגמה של Security rules
- 16:04 – הדגמה לחיבור עם תהליכי פיתוח
תמיכה במגוון רחב של סטנדרטים:
- Classical and modern C++: C++98, C++03, C++ 11, C++14, C++17, C++20
- C++ Core Guidelines
- MISRA C++ 2004, MISRA C++ 2008, MISRA C++ 2012
- OWASP Top 10 2021 & 2017
- CWE Top 25
- SANS Top 25
- PCI DSS
תמיכה במגוון מערכות הפעלה וקומפיילרים:
- Windows, Linux, macOS
- Clang, GCC, MSVC, ARM, QNX compilers
- Intel compilers for Linux, macOS
- Compilers based wholly on GCC including Linaro GCC
- Wind River Diab and GCC
- IAR compilers for 8051, ARM, AVR32, AVR, Renesas RL78, Renesas RX, Renesas V850, Renesas H8, and Texas Instruments MSP430
- Texas Instruments compilers on Windows and macOS for ARM, C2000, C6000, C7000, MSP430, PRU
מידע על עלויות ומחירים
התמיכה ב- ++C לא קיימת ב- SonarQube במהדורה החינמית (Community Edition).
תמיכה ב- ++C קיימת במהדורות הבאות: Developer Edition, Enterprise Edition ו- DataCenter Edition .
תמיכה בדו"חות Security ו – OWASP קיימת רק במהדורת SonarQube Enterprise.
מחיר SonarQube תלוי במספר פרמטרים. לפרטים נוספים על ההבדלים בין המהדורות אפשר לקרוא במאמר הבא או לפנות אלינו (הפרטים להלן).
המאמר פורסם לראשונה באוקטובר 2022 ומאז אנו מעדכנים אותו מעת לעת.
חברת ALM-Toolbox היא המפיצה הרשמית היחידה של חברת SonarSource (יצרנית SonarQube , SonarCloud ו- SonarLint) בישראל ובמדינות נוספות,
ומספקת שירות מנוהל, תמיכה, הדרכות, יעוץ ורשיונות ל- SonarQube ולמגוון כלי פיתוח ו- DevOps משלימים.
לפרטים נוספים פנו אלינו sonarqube@almtoolbox.com או טלפונית 072-240-5222
קישורים רלוונטים:
- אתר SonarQube ישראל
- כיצד SonarQube עוזר למפתחים ולמנהלי פיתוח?
- הקלטת וובינר: סקירה על SonarQube ומה חדש (פברואר 2024)
- הקלטת וובינר עם סיפור לקוח: SonarQube @ Dell (עברית)
- הקלטת וובינר: סקירה על SonarQube (עברית) (הוקלט בנובמבר 2023)
- הקלטת וובינר – הסבר על SonarQube & Code Security (הוקלט ב- 2021 בעברית)
- הסבר על התמיכה של SonarQube ב- Java
- הסבר על התמיכה של SonarQube ב- #C
- אתר היצרן (טכני)
