中国sonarqube 扫描报告-苏州华克斯公司

SonarQube从七个维度来分析代码质量问题：

可靠性

安全性

可维护性

覆盖率

重复

大小

复杂度

问题

单论代码分析能力，拿SonarJava举例，中国sonarqube 扫描报告，对于大多数zui佳实践类型的问题，比如不该使用MD5，不要用主线程sleep等，都还是查的不错。但是真正严重的安全漏洞，比如SQL注入之类的污点传播类问题，一般涉及跨文件，函数，以及涉及对虚函数、数组、容器的处理，sonarqube 扫描报告，还要识别通过框架等配置的数据处理逻辑，那就无能为力。

这也是SonarQube分析器跟Fortify工具的差距所在。

渗透测试应用安全expert团队以模拟恶意hacker的攻击方法，在不影响业务系统正常运行的情况下在渐进逐步的找到系统弱点、技术缺陷或安全漏洞等，进而协助客户解决系统存在的一系列安全问题，提高系统的防御能力，并出具渗透测试报告。

应用类型支持：Web应用、移动APP应用、Web Service、Rest API等。

审计类型支持：路径遍历、可预测资源位置、认证不充分、蛮力、邮件命令注入、目录索引、内容电子欺骗、会话预测、权限不足、远程文件包含、HTTP请求分割/响应分割、拒绝服务等900+类型。

渗透测试工具支持：Appscan、Webinspect。

自动化功能测试工具(Unified Functional Testing)

UFT（Unified Functional Testing）自动化功能测试工具，中国sonarqube 扫描报告，是企业级的用于检验应用程序是否如期运行的功能性测试工具。

关键功能

1、UFT支持丰富的语言和应用，包括：Java、C/C++、ActiveX、Mobile、VB、WEB、WebService、Delphi、.Net、SAP、Oracle、PeopleSoft、Siebel、Qt、WPF等。

2、提供全中文可视化的的图形界面，脚本无需编程，即可完成测试脚本的参数化、输出值、增加检查点等增强脚本功能。

3、支持关键词驱动技术，其关键词数据源可以来源多种方式，如文本文件、Excel表、数据库数据等。

4、丰富的应用类型支持，包括：GUI、API、BPT和移动App的自动化功能测试，且无需二次开发。

5、支持与与Mobile Center无缝集成做移动App的自动化功能测试。