Господа, кто-то трогал github advanced security в сравнении с сонаркубом

бесплатным? Какие преимущества (помимо штук GHAS, нерелевантных для сравнения с сонаром)?

Гитхаб Adv Sec это сканнер по вашему? Сравниваете яйцо с молоком, нет?

Одна система как мастер отчётов + содержит в функционале слабенький SAST + возможность контроля качества кода. Семгреп - опенсорсный SAST

У них разные концепции. semgrep изначально был исследовательским проектом в одном из институтов и был разработан для задачи автозамены в сишных функциях частей кода, по сути для поддержки разработки, после чего ими заинтересовались коммерсы, которые сказали - надо делать инструмент безопасности, так и зародился semgrep (в прошлом sgrep). изначально semgrep был patternbased, но уже сейчас он поддерживает taint анализ для тех кто не в курсе, semgrep pro версия абсолютно бесплатна до 10 контрибьютеров, без смс и тд, просто регестрируемся и получаем ui облачный, pro репозиторий правил и тд. sonarqube как сказано выше пропагандируют подход clean as you code, у них есть интеграции в ide которые позволяют применять практики чистого кода еще на этапе разработки. taint анализ у них был сравнительно давно, но о подробностях не так много информации, как говорят представители - лучший способ подробнее об этом узнать: присоединиться к их команде отдела "языковой" разработки. у каждого свое виденье о том как нужно анализировать код, скорее тут выбор должен быть исходя из того что вам больше подходит

сонаркьюб поставляет ide плагин который синхронизируется с сервером и подтягивает предложения правок и исправлений в ide, по факту будучи лидом в команде разработки вместе с аппсеком можно достичь улучшение в кодовой базе еще на этапе написания кода, предлагая остальной команде разработчиков видеть рекомендуемые предложения которые базируются на конкретной кодовой базе конкретного проекта. кроме того такой подход позволяет привести к единому виду весь код, и улучшить понимание разработчиков кода (так же упрощяет уровень вхождение новых). Вообщем стилизируется все согласно тому кто ведет этот проект и работает в sonarqube. semgrep конечно тоже имеет плагины, но они на сколько мне известно (точно не уверен) подтягивают лишь правила и благодаря функции autofix могут предлагать исправления. они не предлагают синхронизации накопленных "знаний" по кодовой базе, но вы можете легко добавлять любые правила со своей логикой и предложениями автофикса категоризируя их в одну группу правил (например по каждому проекту). С какой-то стороны можно что-то похожее добиться в результате но не по прямому назначению. p.s. не знаю, на моем опыте с sonarqube, его чаще рассматривают как инструмент не для первых этапов внедрения безопасной разработки, а скорее последующим для углубления и улучшения этих показателей. но это мой скромный опыт, возможно он не верный

напиши в личку, поделюсь тем что наверное поможет определиться