中国sonarqube安全审计-苏州华克斯信息

SonarQube 扫描 接入方式

SonarQube 接入方式中国sonarqube

SonarQube包含多种接入方式，这里提供常用的几种接入方式说明：

Jenkins集成方式

Maven集成方式

直接扫描方式

无论采用哪种集成方式，首先需要在sonar服务中生成授权token：

Jenkins集成方式

Jenkins集成具体实现方式包含两种：

通过Jenkins的Job触发Maven命令执行，这种方式实际上是通过Maven集成方式来进行扫描的；

通过Jenkins的Sonar插件执行，中国sonarqube安全审计，此方式实际是触发直接扫描方式来进行扫描的，Jenkins插件的安装方式详见安装

全局配置

在settings.xml文件中配置以下内容

添加插件

在pom.xml中添加sonar插件：

执行分析

如果是多module项目，在执行扫描前需要先对项目进行install操作，华东中国sonarqube，即：

分析配置如果需要修改sonar扫描参数的默认值，在pom.xml的properties中修改即可，支持的参数较多

直接扫描方式

配置在项目根目录中创建sonar-project.properties配置文件，配置文件中包含以下内容：

关于SonarQube社区版使用问题及解决方法

SonarQube项目授权问题

我们在前面解决了SonarQube扫描前的一些问题，现在开始解决授权问题。

Sonarqube的授权配置

用户首先登陆SonarQube平台（我们做了GitlabSSO/LDAP集成）

根据不同的业务组对应创建一个group

然后将用户加入到对应的group中

根据业务的简称创建对应的权限模板

将组和管理员加入权限模板中

然后将该业务的项目批量应用权限模板

Sonarqube扩展性

      Sonar实际上是一个Web系统，展现了静态代码扫描的结果，中国sonarqube规则，结果是可以自定义的，而真正实现代码扫描的是Sonar Scanner这个工具，另外同时支持多种语言的原理是它的扩展性，中国sonarqube教程，通过插件实现的，也就是Java Jar架包，可以在Sonar平台上在线安装或者离线安装。

    SonarQube 的插件还可以对 Java 以外的其他编程语言提供支持，对国际化以及报告文档化也有良好的支持。