SonarQube實(shí)現(xiàn)自動(dòng)化代碼掃描的安裝及使用集成方式

更新時(shí)間：2021年10月14日 17:09:35 作者：Bypass--

Sonar是一個(gè)用于代碼質(zhì)量管理的開源平臺(tái)，通過(guò)插件機(jī)制，Sonar可與第三方工具進(jìn)行集成。將Sonar引入到代碼開發(fā)的過(guò)程中，提供靜態(tài)源代碼安全掃描能力，這無(wú)疑是安全左移的一次很好的嘗試和探索

1、安裝Findbugs插件

Sonar有自己的默認(rèn)的掃描規(guī)則，可通過(guò)安裝Findbugs插件，來(lái)提升代碼漏洞掃描能力。

(1)進(jìn)入配置-->應(yīng)用市場(chǎng)，搜索Findbugs，點(diǎn)擊安裝即可。

在質(zhì)量配置中，設(shè)置FindBugs Security Audit為默認(rèn)。

(2)掃描效果測(cè)試

默認(rèn)的掃描規(guī)則與設(shè)置FindBugs Security Audit的對(duì)比：

2、IDEA集成

通過(guò)IDEA集成Sonar，實(shí)現(xiàn)開發(fā)過(guò)程中就可以自動(dòng)檢測(cè)代碼中存在的安全問(wèn)題。

(1)在線安裝

打開IDEA菜單，F(xiàn)ile → Settings → Plugins，搜索sonar插件，選擇SonarLint進(jìn)行Install，重啟IDEA即可。

(2)基本使用

在IDEA中安裝SonarLint插件，實(shí)現(xiàn)自動(dòng)檢測(cè)項(xiàng)目文件分析或者對(duì)整個(gè)項(xiàng)目進(jìn)行分析。

3、Gitlab集成

通過(guò)Gitlab集成Sonar，就可以實(shí)現(xiàn)提交代碼后自動(dòng)郵件反饋掃描結(jié)果。

(1)在項(xiàng)目根目錄編寫.gitlab-ci.yml文件，通過(guò)GitLab-Runner實(shí)現(xiàn)Gitlab與Sonarqube集成。

(2)當(dāng)提交代碼的時(shí)候，自動(dòng)檢測(cè)代碼并發(fā)送報(bào)告給提交者。

4、Jenkins集成

通過(guò)Jenkins集成Sonar，就可以實(shí)現(xiàn)在流水線做自動(dòng)化持續(xù)代碼掃描。

(1)在Jenkins中，使用Pipeline流水線，拉取代碼、執(zhí)行打包、代碼掃描。

(2)流水線構(gòu)建成功。

以上就是SonarQube實(shí)現(xiàn)自動(dòng)化代碼掃描安裝集成使用詳解的詳細(xì)內(nèi)容，更多關(guān)于SonarQube實(shí)現(xiàn)自動(dòng)化代碼掃描的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！

您可能感興趣的文章:

相關(guān)文章

linux?部署apache服務(wù)的步驟
這篇文章主要介紹了linux部署apache服務(wù)的步驟,部署apache服務(wù)的步驟本文給大家介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值，需要的朋友可以參考下
2018-02-02
archlinux 羅技K380 F1-F12 功能鍵鎖定(實(shí)現(xiàn)方法)
這篇文章主要介紹了archlinux 羅技K380 F1-F12 功能鍵鎖定,在windows中羅技K380可以安裝Logitech Options來(lái)實(shí)現(xiàn)這個(gè)Fn鎖定功能，需要的朋友可以參考下
2023-04-04
git中實(shí)現(xiàn)修改提交信息(版本號(hào))
本文介紹了如何修改Git中的提交信息,包括修改最近一次提交和任意提交的信息,首先,使用git commit --amend命令可以快速修改最近一次的提交信息,此外,若需修改任意提交,可以通過(guò)啟動(dòng)交互式變基,使用reword選項(xiàng)重新編輯提交信息
2024-10-10
ASP,PHP與.NET偽造HTTP-REFERER方法及防止偽造REFERER方法探討
ASP,PHP與.NET偽造HTTP-REFERER方法及防止偽造REFERER方法探討...
2007-03-03
idea一直indexing無(wú)法操作的問(wèn)題解決
在使用idea 2020.3版本開發(fā)maven項(xiàng)目的時(shí)候,一直出現(xiàn)有效件index,idea基本上就沒(méi)辦法操作了,連跳入到類或方法里都跳不了,本文就來(lái)介紹一下解決方法,感興趣的可以了解一下
2024-01-01
程序員趣味讀物談?wù)刄nicode編碼
這是一篇程序員寫給程序員的趣味讀物。所謂趣味是指可以比較輕松地了解一些原來(lái)不清楚的概念，增進(jìn)知識(shí)，類似于打RPG游戲的升級(jí)。整理這篇文章的動(dòng)機(jī)是兩個(gè)問(wèn)題
2012-08-08
詳解git基本操作和指令
這篇文章主要介紹了git基本操作和指令的相關(guān)知識(shí)，本文給大家介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值，需要的朋友參考下吧
2020-11-11
一文分享如何使用vscode打斷點(diǎn)
這篇文章主要給大家介紹了關(guān)于如何使用vscode打斷點(diǎn)的相關(guān)資料,最近用vscode進(jìn)行斷點(diǎn)調(diào)試的時(shí)候總是不順利,遂自己總結(jié)了斷點(diǎn)調(diào)試的方法,需要的朋友可以參考下
2023-07-07
vscode 一鍵規(guī)范代碼格式的實(shí)現(xiàn)
這篇文章主要介紹了vscode 一鍵規(guī)范代碼格式的實(shí)現(xiàn)，文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧
2020-08-08
關(guān)于使用SQOOP抽數(shù)到Hive遇到的問(wèn)題
這篇文章主要介紹了關(guān)于使用SQOOP抽數(shù)到Hive遇到的問(wèn)題,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
2024-04-04