Gitlab英雄边框图案离开svg Gitlab英雄边框图案右svg 背景波
GitLab
vs
SonarQube
决定装备
决定装备
Sonarqube vs gitlab

概要

SonarQube是一个开放源码工具,它使用静态软件组合分析来持续检查代码质量,以检测20多种编程语言上的bug、代码气味和安全漏洞。SonarQube提供关于重复代码、编码标准、单元测试、代码覆盖率、代码复杂性、注释、bug和安全漏洞的报告。

GitLab Ultimate自动为每一个提交的代码提供广泛的安全扫描,包括静态和动态应用安全测试、依赖扫描、容器扫描、许可证遵从性、秘密检测和模糊测试。

特征比较
特性

静态应用程序安全性测试

GitLab允许在CI/CD管道中轻松运行静态应用安全测试(SAST);检查应用程序包含的库中的易受攻击的源代码或众所周知的安全bug。结果显示在合并请求和管道视图中。此特性可作为汽车DevOps提供security-by-default。

了解关于静态应用程序安全性测试的更多信息

秘密的检测

GitLab允许您在CI/CD管道中进行秘密检测;检查无意中提交的机密和凭证。结果显示在合并请求和管道视图中。此特性可作为汽车DevOps提供security-by-default。

了解更多检测揭秘

依赖扫描

GitLab自动检测应用程序所包含的库中众所周知的安全bug,保护应用程序免受影响动态使用的依赖关系的漏洞。结果显示在合并请求和管道视图中。此特性可作为汽车DevOps提供security-by-default。

了解有关依赖项扫描的更多信息

集装箱扫描

当为您的应用程序构建Docker映像时,GitLab可以运行一个安全扫描,以确保它在您的代码交付的环境中没有任何已知的漏洞。结果显示在合并请求和管道视图中。此特性可作为汽车DevOps提供security-by-default。

了解更多关于集装箱扫描的信息

动态应用程序安全性测试

一旦你的应用是在线,GitLab允许运行动态应用程序安全测试(DAST)在CI / CD管道;您的申请将被扫描,以确保像XSS或失效的验证缺陷并不影响它的威胁。结果显示在合并请求和管道视图中。此特性可作为汽车DevOps提供security-by-default。

了解有关容器的应用程序安全性的更多信息

交互式应用程序安全性测试

IAST结合静态和动态应用程序安全测试方法的元素,以提高结果的整体质量。IAST通常使用代理来检测应用程序,以监视库调用等等。GitLab还没有提供这个功能。

云本地网络防火墙

云本地网络防火墙提供容器级的网络微分割,隔离容器网络通信,以限制攻击特定容器或微服务的“爆炸半径”。容器感知虚拟防火墙识别集群中应用程序组件之间的有效流量流,并通过阻止攻击者在已经破坏了环境的一部分时通过环境移动来限制破坏。

了解更多关于容器网络安全的信息

许可遵从性

检查依赖项的许可是否与应用程序兼容,并批准或拒绝它们。结果显示在合并请求和管道视图中。

了解更多有关许可遵从性的信息

按需动态应用程序安全性测试

没有理由等待下一个CI管道运行来发现您的站点是否存在漏洞,或者重现以前发现的漏洞。GitLab提供扫描运行中的应用程序的按需动态应用安全测试(DAST),独立于代码更改或合并请求。

了解更多关于按需DAST的信息