苏州华克斯公司-中国sonarqube安全审计

SonarQube简介

一、 SonarQube是什么？

1、代码质量和安全扫描和分析平台。

2、多维度分析代码：代码量、安全隐患、编写规范隐患、重复度、复杂度、代码增量、测试覆盖率等。

3、支持25+编程语言的代码扫描和分析，中国sonarqube安全审计，包含java﹨python﹨C#﹨javascript﹨go﹨C++等。

4、涵盖了编程语言的静态扫描规则： 代码编写规范+安全规范。

5、能够与代码编辑器、CI/CD平台集成。

6、能够与SCM集成，可以直接在平台上看到代码问题是由哪位开发人员提交。

7、帮助程序猿写出更干净、更安全的代码。

sonarqube架构介绍

SonarQube平台主要由4个组件组成：

（1). SonarQube服务器：

主要包括web服务器，基于ElasticSearch的搜索服务器，西南sonarqube安全审计，计算引擎服务器。

其中，web服务器，是供开发人员浏览查看代码分析结果，进行相应的配置等。

计算引擎服务器主要是处理代码分析报表并将其存储在数据库。

(2). SonarQube 数据库：

存储配置信息和代码分析报表。

(3). 多个Soanr插件：包括分析各种语言的插件。

(4). 多个Sonar Scanner，中国sonarqube安全审计，主要运行在开发人员的代码端，可以单独部署，也可以集成在Maven，Gradle等。

Sonarqube进行分析

在前面准备好的项目文件夹内，执行以下两个命令，当两个命令执行结果都是success，基本上就没问题了。

查看分析结果

在sonarqube首页我们可以看到刚刚分析的项目，首页主要是有bugs，中国sonarqube安全审计，漏洞，坏味道，覆盖率，重复五个指标，右边是代码行数，分析时间，主要使用语言。

点击项目，可以看到更加详细的结果，可以查看问题，指标，代码等参数。