sonarqube安全审计-华克斯-吉林sonarqube

sonarqube架构介绍

SonarQube平台主要由4个组件组成：

（1). SonarQube服务器：

主要包括web服务器，基于ElasticSearch的搜索服务器，计算引擎服务器。

其中，web服务器，是供开发人员浏览查看代码分析结果，进行相应的配置等。

计算引擎服务器主要是处理代码分析报表并将其存储在数据库。

(2). SonarQube 数据库：

存储配置信息和代码分析报表。

(3). 多个Soanr插件：包括分析各种语言的插件。

(4). 多个Sonar Scanner，sonarqube安全审计，主要运行在开发人员的代码端，可以单独部署，也可以集成在Maven，Gradle等。

SonarQube是什么

是一种静态代码质量分析的开源软件，主要功能如下：

SonarQube本体是底层是Java编写的，对于Java代码分析和Maven，Gradle结合相对容易

拥有大量的插件，能够进行多种编程语言的静态代码分析

能够和CI/CD环境进行集成，吉林sonarqube，能够持续进行代码质量检测。同时针对代码的检测同时，能够针对代码情况进行评分和反馈。现阶段支持的CI/CD有Gitlab，Github，Jenkins等

现在有4种版本：Community版本，sonarqube招标参数，Developer版本，Enterprise版本，Data Center版本.

sonarQube的基本使用（一）

sonarQube的基本使用，包括配置规则集(质量配置)、配置质量阈、创建/配置项目、创建用户、创建用户组、以及权限配置，代理商sonarqube经销商，通知配置，问题处理，不包括sonarQube服务的搭建。

管理员主界面

管理员登陆后可看到sonarQube服务下所有项目的代码检查情况，并且工具栏会显示“配置按钮”，普通用户登录后工具栏没有配置按钮。

1.新建用户组

配置>>权限>>群组

创建成功后可在列表中看到创建的群组记录

点击成员按钮，可以为该群组添加成员

2.新建用户

输入用户信息

点击创建后，用户列表中显示刚才创建的用户

进入用户详情，会看到如下界面，选择“安全”tab页，输入令牌名称，点击生成，该令牌用以在执行代码检查命令时替代用户名/密码输入，提高安全性。

点击配置>>权限>>用户>>创建用户

选择“项目”tab页，为该用户选择项目，当该项目为“私有”项目时，则只能被分配的用户看到。

选择“我的账户”>>提醒，设置需要用户通知的场景