SonarQube实现自动化代码扫描的安装及使用集成方式
更新时间:2021年10月14日 17:09:35 作者:Bypass--
Sonar是一个用于代码质量管理的开源平台,通过插件机制,Sonar可与第三方工具进行集成。将Sonar引入到代码开发的过程中,提供静态源代码安全扫描能力,这无疑是安全左移的一次很好的尝试和探索
1、安装Findbugs插件
Sonar有自己的默认的扫描规则,可通过安装Findbugs插件,来提升代码漏洞扫描能力。
(1)进入配置-->应用市场,搜索Findbugs,点击安装即可。
在质量配置中,设置FindBugs Security Audit为默认。
(2)扫描效果测试
默认的扫描规则与设置FindBugs Security Audit的对比:
2、IDEA集成
通过IDEA集成Sonar,实现开发过程中就可以自动检测代码中存在的安全问题。
(1)在线安装
打开IDEA菜单,File → Settings → Plugins,搜索sonar插件,选择SonarLint进行Install,重启IDEA即可。
(2)基本使用
在IDEA中安装SonarLint插件,实现自动检测项目文件分析或者对整个项目进行分析。
3、Gitlab集成
通过Gitlab集成Sonar,就可以实现提交代码后自动邮件反馈扫描结果。
(1)在项目根目录编写.gitlab-ci.yml文件,通过GitLab-Runner实现Gitlab与Sonarqube集成。
(2)当提交代码的时候,自动检测代码并发送报告给提交者。
4、Jenkins集成
通过Jenkins集成Sonar,就可以实现在流水线做自动化持续代码扫描。
(1)在Jenkins中,使用Pipeline流水线,拉取代码、执行打包、代码扫描。
(2)流水线构建成功。
以上就是SonarQube实现自动化代码扫描安装集成使用详解的详细内容,更多关于SonarQube实现自动化代码扫描的资料请关注脚本之家其它相关文章!
相关文章
随着网站的运营,用户访问量和数据存储量会随着时间发生几何级变化,很快整个系统不堪重负,频繁出现问题。2011-06-06
本文主要介绍了git pull每次都要输入用户名和密码的解决办法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2023-06-06
你是否有过复查程序时发现有些注释毫无用处?程序注释是为了提高代码的可读性,为了让原作者以外的其他开发人员更容易理解这段程序。2011-10-10
这篇文章主要介绍了码云git图文使用详解教程,需要的朋友可以参考下2020-11-11
这篇文章主要介绍了编写高质量代码的30条黄金守则(首选隐式类型转换),本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2020-08-08
这篇文章主要介绍了git提交出现commit提醒信息界面怎样退出问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2023-11-11
Windows 系统下的 Git 2.7 最新下载及安装教程图文详解
这篇文章主要介绍了Windows 系统下的 Git 2.7 最新下载及安装教程,本文通过图文并茂的形式给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2020-08-08
这篇文章主要介绍了关于vs2019安装不了扩展问题的解决方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-08-08
这篇文章主要介绍了google提供二维码生成器的在线地址,一般情况下大家可以根据自己的需要修改参数就可以了2014-04-04
Telnet协议是TCP/IP协议族中的一员,是Internet远程登录服务的标准协议和主要方式,Telnet是常用的远程控制Web服务器的方法,本文给大家分享yum安装telnet的步骤,感兴趣的朋友一起看看吧2020-05-05
最新评论