SonarQube实现自动化代码扫描的安装及使用集成方式
更新时间:2021年10月14日 17:09:35 作者:Bypass--
Sonar是一个用于代码质量管理的开源平台,通过插件机制,Sonar可与第三方工具进行集成。将Sonar引入到代码开发的过程中,提供静态源代码安全扫描能力,这无疑是安全左移的一次很好的尝试和探索
1、安装Findbugs插件
Sonar有自己的默认的扫描规则,可通过安装Findbugs插件,来提升代码漏洞扫描能力。
(1)进入配置-->应用市场,搜索Findbugs,点击安装即可。
在质量配置中,设置FindBugs Security Audit为默认。
(2)扫描效果测试
默认的扫描规则与设置FindBugs Security Audit的对比:
2、IDEA集成
通过IDEA集成Sonar,实现开发过程中就可以自动检测代码中存在的安全问题。
(1)在线安装
打开IDEA菜单,File → Settings → Plugins,搜索sonar插件,选择SonarLint进行Install,重启IDEA即可。
(2)基本使用
在IDEA中安装SonarLint插件,实现自动检测项目文件分析或者对整个项目进行分析。
3、Gitlab集成
通过Gitlab集成Sonar,就可以实现提交代码后自动邮件反馈扫描结果。
(1)在项目根目录编写.gitlab-ci.yml文件,通过GitLab-Runner实现Gitlab与Sonarqube集成。
(2)当提交代码的时候,自动检测代码并发送报告给提交者。
4、Jenkins集成
通过Jenkins集成Sonar,就可以实现在流水线做自动化持续代码扫描。
(1)在Jenkins中,使用Pipeline流水线,拉取代码、执行打包、代码扫描。
(2)流水线构建成功。
以上就是SonarQube实现自动化代码扫描安装集成使用详解的详细内容,更多关于SonarQube实现自动化代码扫描的资料请关注脚本之家其它相关文章!
相关文章
这篇文章主要介绍了git之如何把本地文件上传到远程仓库的指定位置,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-07-07
这篇文章主要为大家介绍了Git远程删除某个历史提交记录方法详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2022-06-06
本文主要介绍了页面中加载优酷视频去掉广告的方法,具有很好的参考价值,需要的朋友一起来看下吧2016-12-12
这篇文章主要为大家介绍了接口数据安全保证的10种方式详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2022-07-07
这篇文章主要给大家介绍了关于VSCode连接远程服务器调试代码的超详细流程,远程调试是为了解决在本机开发环境与线上不一致导致调试难、搭建繁琐,文中通过图文介绍的非常详细,需要的朋友可以参考下2023-10-10
2018年GitHub账户注册图文教程(github从注册到使用)
Github是最流行的代码库,里面存储着丰富的优秀的开源代码。不仅如此,作为一款免费的代码存储利器也是流的一逼,支持各种编程语言,代码显示效果堪称完美,可以随时随地查看自己记录的笔记2018-02-02
jQuery会死吗?我为什么不用vue写富文本,本文通过文字实例代码相结合的形式给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下2019-05-05
关于VSCode 装好ESLint 插件 import 报黄线的问题
这篇文章主要介绍了VSCode 装好ESLint 插件 import 报黄线的问题,本文通过图文并茂的形式给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2020-11-11
这篇文章主要为大家详细介绍了Git基础学习中分支的基本操作,例如分支的创建、查看、切换和删除等,感兴趣的小伙伴可以跟随小编一起学习一下2022-10-10
很多网站发表了引用优酷视频不能全屏,或一点全屏又跳到官方网了,结果又要重新缓冲。用户体验特别不好。2010-09-09
最新评论