测试左移——代码审计SonarQube 平台搭建

一、sonarqube代码分析技术体系

1、代码分析工具

IDE 辅助功能

  • xcode、android studio
  • 阿里巴巴 java 开发手册 ide 插件支持

独立的静态分析工具

  • spotbugs、findbugs、androidlint、scan-build、Checkstyle、FindSecBugs
  • pmd 阿里巴巴 java 开发手册 pmd 插件

综合性的代码分析平台

  • sonarqube 功能强大,数据分析全面

2、代码分析技术架构

代码静态检查

  • 代码分析:通过分析语法树和源代码,检查代码规范

    • lint 系列 style 系列 pmd
    • antlr
  • 编译器分析:借助于编译器获得代码关系

字节码静态分析

  • 分析 jar、war、dex 等格式的文件,代表工具:findbugs asm

3、语法树分析技术

在这里插入图片描述

4、字节码分析技术 Java 与 Kotlin 源代码

在这里插入图片描述

5、SonarQube

代码质量和安全的领先产品
17种语言的静态代码分析
检测Bug和漏洞
查看安全热点
跟踪代码气味并修复您的技术债务
代码质量度量和历史
CI/CD集成
可扩展,具有50多个社区插件

在这里插入图片描述

6、代码分析主要指标

在这里插入图片描述

7、代码分析细节指标

在这里插入图片描述

8、度量指标总结

可靠性 bugs
可维护性 code smells
安全性 Vulnerabilities Security Hotspots
覆盖率 Coverage Unit Tests
代码重复 Duplications
代码规模 Lines of Code Comments rate
复杂度 Cyclomatic Complexity Cognitive Complexity

在这里插入图片描述

9、独立分析平台使用案例

在这里插入图片描述

10、持续集成使用案例

在这里插入图片描述

11、Sonarqube经典案例分析

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

目前大部分公司都采用了 sonarqube,它的概念和技术指标已经成为行业事实上的标准

二、代码审计 SonarQube 平台搭建

1、sonarqube 技术架构

在这里插入图片描述

2、正式环境部署

1、创建网络

[root@mylinux1 ~]# docker network create sonarqube
1f22eb6dc8bb5b640a87d74bbc7a9d7f783b3dde0325bffecd74038eb9aebf69

2、创建数据库容器实例

-e POSTGRES_USER=sonarqube:设置数据库用户名
-e POSTGRES_PASSWORD=sonarqube:设置数据库密码
-e PGDATA=/var/lib/postgresql/data/pgdata:指定数据库的位置
-v $PWD/postgresql_data:/var/lib/postgresql/data:把数据映射到当前目录下的postgresql_data中:即使容器销毁了,重新创建一个,数据不会丢

docker run -d \--name sonarqube_postgres \--network sonarqube \-e POSTGRES_USER=sonarqube \-e POSTGRES_PASSWORD=sonarqube \-e PGDATA=/var/lib/postgresql/data/pgdata \-v $PWD/postgresql_data:/var/lib/postgresql/data \postgres

3、创建sonarqube容器实例

创建sonarqube容器实例,可以通过-Xms4g -Xmx4g增加下ES的堆内存大小
mac环境需要加 -e SONAR_SEARCH_JAVAADDITIONALOPTS=“-Dbootstrap.system_call_filter=false”

platform linux/x86_64:在mac上需要加这条命令
-e SONARQUBE_JDBC_USERNAME=sonarqube
-e SONARQUBE_JDBC_PASSWORD=sonarqube \:设置数据库的用户名和密码
-v $PWD/sonarqube_data:/opt/sonarqube/data
-v $PWD/sonarqube_extensions:/opt/sonarqube/extensions
-v $PWD/sonarqube_logs:/opt/sonarqube/logs \:宿主机和容器映射

docker run -d  \--name sonarqube_hogwarts \--platform linux/x86_64 \-p 9000:9000 -p 9092:9092 \--network sonarqube \--user $(id -u):$(id -g) \-e SONARQUBE_JDBC_USERNAME=sonarqube \-e SONARQUBE_JDBC_PASSWORD=sonarqube \-e SONARQUBE_JDBC_URL="jdbc:postgresql://sonarqube_postgres/sonarqube" \-e SONAR_SEARCH_JAVAADDITIONALOPTS="-Dbootstrap.system_call_filter=false -Xms1g -Xmx1g" \-e SONARQUBE_WEB_JVM_OPTS="-Xms2g -Xmx2g" \--ulimit nofile=524288:524288 \-v $PWD/sonarqube_data:/opt/sonarqube/data \-v $PWD/sonarqube_extensions:/opt/sonarqube/extensions \-v $PWD/sonarqube_logs:/opt/sonarqube/logs \sonarqube

4、检查容器启动成功

[root@mylinux1 ~]# docker ps
CONTAINER ID   IMAGE                       COMMAND                   CREATED              STATUS              PORTS                                                                                  NAMES
de81187b3504   sonarqube:8.9.2-community   "bin/run.sh bin/sona…"   About a minute ago   Up About a minute   0.0.0.0:9000->9000/tcp, :::9000->9000/tcp, 0.0.0.0:9092->9092/tcp, :::9092->9092/tcp   sonarqube_hogwarts
532e9ed4212d   postgres                    "docker-entrypoint.s…"   9 minutes ago        Up 9 minutes        5432/tcp                                                                               sonarqube_postgres
60ed0289df5b   registry:2                  "/entrypoint.sh /etc…"   4 months ago         Up 42 hours         0.0.0.0:5000->5000/tcp, :::5000->5000/tcp  

5、环境配置

默认账号 admin:admin
生成 token
划分组与用户

登录页面
在这里插入图片描述
首页
在这里插入图片描述
projects:项目列表(大部分项目是自动创建)
issues:发现的问题
rules:制定的规则
quality profiles::定制规则
quality gates:质量门禁
administration:管理

6、环境变量设置

为了方便命令复用,后面命令中可变内容使用环境变量来表示 $SQ_HOST

[root@mylinux1 ~]# SQ_TOKEN=22df457ac0dc32269a36868645490a85a357d44118
[root@mylinux1 ~]# SQ_HOST=http://192.168.22.3:9000

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/113066.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Windows系统中Apache Http服务器简单使用

1 简介 Apache HTTP服务器是一个开源的、跨平台的Web服务器软件。它由Apache软件基金会开发和维护。Apache HTTP服务器可以在多种操作系统上运行,如Windows、Linux、Unix等,并且支持多种编程语言和技术,如PHP、Perl、Python、Java等。…

[笔记] 阿里云域名知识

文章目录 前言一、域名二、域名常见分类2.1 泛域名2.2 为什么要设置子域名 三、记录类型3.1 A- 将域名指向一个PV4地址3.2 CNAME- 将域名指向另外一个域名3.3 AAAA- 将域名指向一个PV6地址3.4 MX- 将域名指向邮件服务器地址3.5 SRV- 记录提供特定的服务的服务器使用场景 3.6 TX…

【前端demo】将二进制数转换为十进制数 原生实现

https://github.com/florinpop17/app-ideas 总结 文章目录 效果JavaScript实现进制转换原生代码遇到的问题 效果 二进制转换为十进制若输入为空或不是二进制,提示清空 JavaScript实现进制转换 parseInt parseInt(111,2)手动实现 bin是输入的字符串。 functio…

【C++】关于fixed和setprecision的学习和介绍

前言 在学习swap函数的时候&#xff0c;偶然了解到了fixed和setprecision&#xff0c;这两条控制语句&#xff0c;在了解了之后&#xff0c;觉得很有用&#xff0c;于是写一篇文章来介绍fixed和setprecision这两条控制语句 fixed控制输出形式 使用fixed语句需要包含<ioma…

Matlab图像处理-图像缩放

基本概念 图像缩放是指将给定的图像在x轴方向按比例缩放a倍&#xff0c;在y轴方向按比例缩放b倍&#xff0c;从而获得一幅新的图像。 如果ab&#xff0c;即在x轴方向和y轴方向缩放的比率相同&#xff0c;则称这样的比例缩放为图像的全比例缩放。 如果a≠b&#xff0c;图像比…

在腾讯云服务器OpenCLoudOS系统中安装svn(有图详解)

1. 安装svn yum -y install subversion 安装成功&#xff1a; 2. 创建数据根目录及仓库 mkdir -p /usr/local/svn/svnrepository 创建test仓库&#xff1a; svnadmin create /usr/local/svn/test test仓库创建成功&#xff1a; 3. 修改配置test仓库 cd /usr/local/svn/te…

Visual Studio 2017安装和项目配置

目录 前言1. What、Why and How1.1 What1.2 Why1.3 How 2. 安装3. 创建新项目4. 配置OpenCV库4.1 下载opencv安装包4.2 配置系统环境变量4.3 VS项目环境配置4.4 总结 5. 已有项目添加6. Tips6.1 常用快捷键6.2 字体和颜色选择6.3 配置编译路径 结语下载链接参考 前言 最近因为项…

安装启动Stable Diffusion教程

一、下载源码 GitHub - AUTOMATIC1111/stable-diffusion-webui: Stable Diffusion web UI 二、安装miniconda 参考&#xff1a;安装启动yolo5教程_苍穹之跃的博客-CSDN博客 三、安装CUDA 参考&#xff1a;安装启动yolo5教程_苍穹之跃的博客-CSDN博客 四、创建虚拟环境 co…

SpringBoot入门篇3 - 整合junit、整合mybatis、基于SpringBoot实现ssm整合

目录 1.整合JUnit Spring整合JUnit SpringBoot整合JUnit 测试类注解&#xff1a;SpringBootTest 作用&#xff1a;设置JUnit加载的SpringBoot启动类 2.整合mybatis ①使用spring initializr初始化项目的时候&#xff0c;添加依赖。 ②设置数据源application.yml spring:d…

搭建一个你的文件共享站

说起文件共享&#xff0c;类似文件站这样的功能。在很久之前我使用过用apache httpd这个方案&#xff0c;这个的话就是太过于简单了。当然是满足需求的&#xff08;又不是不能用&#xff09; 今天来分享一个开源的文件共享平台。Pingvin Share 作者的github地址&#xff1a;ht…

git私房菜

文章目录 1、公司项目开发Git协作流程2、合并相关的操作3、Git常用命令总结 公司中如何使用Git协同开发的&#xff1f;本文将具体介绍开发模式&#xff0c;以及一些常用命令。 1、公司项目开发Git协作流程 公司一个完整的项目出来&#xff0c;项目的推进是在主分支master上进行…

分布式训练 最小化部署docker swarm + docker-compose落地方案

目录 背景&#xff1a; 前提条件&#xff1a; 一、docker环境初始化配置 1. 安装nvidia-docker2 2. 安装docker-compose工具 3. 获取GPU UUID 4. 修改docker runtime为nvidia&#xff0c;指定机器的UUID 二、docker-swarm 环境安装 1. 初始化swarm管理节点 2. 加入工…

Linux的Man Page知识记录

Man&#xff08;short for manual&#xff09; Page是Unix和Linux操作系统中的一个重要文档&#xff0c;提供命令、函数、系统调用等的详细介绍和使用说明。它是以纯文本的形式出现&#xff0c;通常在终端&#xff08;terminal&#xff09;中使用man命令访问。Man Page按照章节…

Java seven 解读正则表达式、java方法的使用

目录 Java 正则表达式1. java.util.regex 包2. 捕获组3. 正则表达式语法4. Matcher 类的方法 Java 方法1. 定义&#xff1a;2. 优点3. 命名规则4. 方法调用5. 方法的重载6. 构造方法7. 可变参数8. finalize() 方法 Java 正则表达式 1. java.util.regex 包 Pattern 类&#xff…

FireFox禁用HTTP2

问题 最近需要调试接口&#xff0c;但是&#xff0c;Chrome都是强制使用h2协议&#xff0c;即HTTP/2协议。为了排除h2协议排除对接口调用的影响&#xff0c;需要强制浏览器使用HTTP1协议。 解决 FireFox 设置firefox的network.http.http2.enabled为禁用&#xff0c;这样就禁…

docker与phpstudy两种方式部署wordpress 并 开启伪静态

实际测试&#xff0c;可能是docker内存限制的缘故&#xff0c;docker部署的会比较卡 下载 wordpress phpstudy phpstudy中伪静态配置 伪静态 正常访问 WordPress 文章页的 URL 地址为 http://asa/index.php?p123。变成伪静态就是http://asa/123.html 。 伪静态是相对真实静…

第2章 Linux多进程开发 2.19-2.23 与信号相关的函数

软件中断&#xff1a; 信号名称&#xff08;宏不会变&#xff09;&#xff0c;编号在不同的版本可能会变&#xff1a; core保存进程异常退出的信息&#xff1a; core.c: #include <stdio.h> #include <string.h>int main() {char * buf; // 指针 没有指…

Vector<T> 动态数组(模板语法)

C数据结构与算法 目录 本文前驱课程 1 C自学精简教程 目录(必读) 2 动态数组 Vector&#xff08;难度1&#xff09; 其中&#xff0c;2 是 1 中的一个作业。2 中详细讲解了动态数组实现的基本原理。 本文目标 1 学会写基本的C类模板语法&#xff1b; 2 为以后熟练使用 S…

图像分割模型GUI应用:基于Tkinter和MMseg实现

简介 本篇博客介绍了一个使用Python的Tkinter库和MMseg图像分割库创建的图像分割模型GUI应用。该应用允许用户加载图像文件夹&#xff0c;浏览加载的图像&#xff0c;并对选定的图像执行分割推断&#xff0c;展示分割结果。这个应用演示了如何使用图形界面与深度学习模型结合&…

堆,堆排序和TOP—K问题(C语言版)

前言 堆是一种重要的数据结构&#xff0c;堆分为大根堆和小根堆&#xff0c;大根堆堆顶的数据是最大的&#xff0c;小根堆堆顶的数据是最小的&#xff0c;堆在逻辑结构上是一颗完全二叉树&#xff0c;这棵树中如果满足根节点大于左右子树&#xff0c;每个节点都满足这个条件就是…