【安全测试】【Sonar】Sonarqube的集成与使用

一、选用的版本

sonar-scanner-4.6.2.2472

sonarqube-9.2.4.50792

mysql5.6  下载地址： https://dev.mysql.com/downloads/mysql/

sonarqube的文档地址：https://docs.sonarqube.org/latest/analysis/analysis-parameters/

sonarqube下载地址：https://www.sonarqube.org/downloads/

 

二、jenkins集成使用

在jenkins工程中execute shell

source /home/.bash_profile

cd /data/jenkins/workspace/code/xxx-common
mvn clean install
mvn org.sonarsource.scanner.maven:sonar-maven-plugin:3.3.0.603:sonar \
 -Dsonar.projectName="后端代码--项目1" \
 -Dsonar.projectKey=demo \
 -Dsonar.host.url=http://10.82.xx.xx:9000 \
 -Dsonar.login=ac002dxxxxxxxxxxxxxxxxxxxxxxxx7463 \
 -Dsonar.pdf.username=admin \
 -Dsonar.pdf.password=pwd \
 -Dsonar.java.binaries=target/sonar


cd /data/jenkins/workspace/code/xxx-web
sonar-scanner -Dsonar.projectKey=web-demo2 \
 -Dsonar.projectName="前端代码-项目2" \
 -Dsonar.sources=. \
 -Dsonar.host.url=http://10.82.xx.xx:9000\ 
-Dsonar.login=acxxxxxxxxxxxxxxxxxxxx33sdsa3 \ 
-Dsonar.pdf.username=admin \ 
-Dsonar.pdf.password=pwd \ 
-Dsonar.exclusions=public/**/*

 

说明：

Dsonar.projectName="后端代码--项目1" ，是工程名称，可自定义

Dsonar.projectKey=demo，唯一标识一个项目

Dsonar.host.url=http://10.82.xx.xx:9000 sonarqube的访问地址

-Dsonar.login=ac002dxxxxxxxxxxxxxxxxxxxxxxxx7463 ，这个login的值，首次可以在sonarqube中新增项目后生成，见下一步介绍，创建后可以延续使用，无需每个项目都创建

Dsonar.pdf.username=admin ，登录sonarqube的用户名

-Dsonar.pdf.password=pwd ，登录sonarqube的密码

-Dsonar.java.binaries=target/sonar，扫描java项目的配置

-Dsonar.sources=. ，扫描前端项目的配置

三、sonarqube操作
1.首次创建项目
点击+号，点击【<>手工】

输入项目标识，同projectKey保持一致，点击【设置】

 

输入token名称，点击【创建】即可生成一个新的logintoken，在-Dsonar.login中赋值即可

注意，此处生成token之后，其他后续所有的项目都可以使用同一个token，可以选【使用已有令牌】，这个令牌在jenkins的命令行中也可以直接使用在新的项目中

 

 

点击【继续】

 

 

 跟据项目情况，选择java或者python或者JS，选择完后可以看到命令行示例。

 

 

 

 注意：这个步骤是在sonarqube创建项目，生成token，如果是在jenkins中直接用第二步的命令行，可以不需要第三步的步骤（如果没有login的token，可以参考第三步来进行生成后直接使用。）