SonarQube实现自动化代码扫描的安装及使用集成方式
更新时间:2021年10月14日 17:09:35 作者:Bypass--
Sonar是一个用于代码质量管理的开源平台,通过插件机制,Sonar可与第三方工具进行集成。将Sonar引入到代码开发的过程中,提供静态源代码安全扫描能力,这无疑是安全左移的一次很好的尝试和探索
1、安装Findbugs插件
Sonar有自己的默认的扫描规则,可通过安装Findbugs插件,来提升代码漏洞扫描能力。
(1)进入配置-->应用市场,搜索Findbugs,点击安装即可。
在质量配置中,设置FindBugs Security Audit为默认。
(2)扫描效果测试
默认的扫描规则与设置FindBugs Security Audit的对比:
2、IDEA集成
通过IDEA集成Sonar,实现开发过程中就可以自动检测代码中存在的安全问题。
(1)在线安装
打开IDEA菜单,File → Settings → Plugins,搜索sonar插件,选择SonarLint进行Install,重启IDEA即可。
(2)基本使用
在IDEA中安装SonarLint插件,实现自动检测项目文件分析或者对整个项目进行分析。
3、Gitlab集成
通过Gitlab集成Sonar,就可以实现提交代码后自动邮件反馈扫描结果。
(1)在项目根目录编写.gitlab-ci.yml文件,通过GitLab-Runner实现Gitlab与Sonarqube集成。
(2)当提交代码的时候,自动检测代码并发送报告给提交者。
4、Jenkins集成
通过Jenkins集成Sonar,就可以实现在流水线做自动化持续代码扫描。
(1)在Jenkins中,使用Pipeline流水线,拉取代码、执行打包、代码扫描。
(2)流水线构建成功。
以上就是SonarQube实现自动化代码扫描安装集成使用详解的详细内容,更多关于SonarQube实现自动化代码扫描的资料请关注脚本之家其它相关文章!
相关文章
这篇文章主要介绍了linux部署apache服务的步骤,部署apache服务的步骤本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2018-02-02
archlinux 罗技K380 F1-F12 功能键锁定(实现方法)
这篇文章主要介绍了archlinux 罗技K380 F1-F12 功能键锁定,在windows中罗技K380可以安装Logitech Options来实现这个Fn锁定功能,需要的朋友可以参考下2023-04-04
本文介绍了如何修改Git中的提交信息,包括修改最近一次提交和任意提交的信息,首先,使用git commit --amend命令可以快速修改最近一次的提交信息,此外,若需修改任意提交,可以通过启动交互式变基,使用reword选项重新编辑提交信息2024-10-10
ASP,PHP与.NET伪造HTTP-REFERER方法及防止伪造REFERER方法探讨
ASP,PHP与.NET伪造HTTP-REFERER方法及防止伪造REFERER方法探讨...2007-03-03
在使用idea 2020.3版本开发maven项目的时候,一直出现有效件index,idea基本上就没办法操作了,连跳入到类或方法里都跳不了,本文就来介绍一下解决方法,感兴趣的可以了解一下2024-01-01
这是一篇程序员写给程序员的趣味读物。所谓趣味是指可以比较轻松地了解一些原来不清楚的概念,增进知识,类似于打RPG游戏的升级。整理这篇文章的动机是两个问题2012-08-08
这篇文章主要介绍了git基本操作和指令的相关知识,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧2020-11-11
这篇文章主要给大家介绍了关于如何使用vscode打断点的相关资料,最近用vscode进行断点调试的时候总是不顺利,遂自己总结了断点调试的方法,需要的朋友可以参考下2023-07-07
这篇文章主要介绍了vscode 一键规范代码格式的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-08-08
这篇文章主要介绍了关于使用SQOOP抽数到Hive遇到的问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2024-04-04
最新评论