SonarQube 6.7 LTS 용 OWASP Top10 및 SANS Top 25는 무엇입니까?

방금 SonarQube 6.7 LTS를 다운로드했습니다. 나는 그것이 OWASP Top 10과 SANS Top 25를 탐지 할 것이라는 것을 알고 있습니다 ... 그러나 그 목록의 어떤 버전입니까?SonarQube 6.7 LTS 용 OWASP Top10 및 SANS Top 25는 무엇입니까?

예를 들어, 내장 태그가 OWASP Top 10 - 2013 또는 2017 또는 2010을 검색합니까?

내장 태그가 SANS Top 25 - 2009 또는 2010 또는 2011을 검색합니까?

출처

2017-12-04 Philip Schlesinger

OWASP 및 SANS에 대한 정보는 documentation 페이지에서 확인할 수 있습니다. 이 페이지에는 최신 SonarQube 버전 (6.7 LTS)에서 사용 된 보안 버전 페이지에 대한 링크가 있습니다. 제공된 링크를 기반으로 :

CWE/SANS TOP 25 : 버전 6월 27일 업데이트 3.0 2011 년
OWASP : 2013 - 10

참조이 :

가 이러한 표준과 관련된 규칙을 찾으려면 규칙을 태그 또는 텍스트로 검색 할 수 있습니다. 규칙이 과 관련된 표준은 규칙 하단의 See section에 나열됩니다.

따라서 모든 규칙을 이미 감지/분석 할 수있는 것은 아닙니다.

출처

2017-12-05 05:06:04

Hi Jeroen, 그 링크는 SANS Top 25 또는 OWASP Top 10의 * version *을 말하지 않으며 규칙도 아닙니다. SANS Top 25의 * 버전 *과 OWASP Top 10의 주요 차이점이 있습니다. 예 : http://resources.infosecinstitute.com/owasp-2017-top-10-vs-2013-top-10/#gref –

SonarQube 6.7 LTS 용 OWASP Top10 및 SANS Top 25는 무엇입니까?

답변

관련 문제