安全测试-sonarscanner扫描代码

1.配置客户端

1.安装客户端
sonar-scanner
下载,安装,官网:https://docs.sonarqube.org/latest/analysis/scan/sonarscanner/
创建完成项目,右边会有一个提示下载sonar-scanner的地方,忘截图了
2.配置环境变量
配置变量:open ~/.bash_profile
配置生效:source ~/.bash_profile

# sonar_scanner 环境变量
export SONAR_RUNNER_HOME=/Library/sonar-scanner-4.3.0.2102-macosx
export PATH=$PATH:$SONAR_RUNNER_HOME/bin

配置后直接"sonar-scanner -h",查看版本信息

3.可以修改配置信息
ps:如果是固定的一个项目可以配置,方便管理;如果是多个项目,可不配置


文件路径:/Users/zhangshan/sonar-scanner-4.3.0.2102-macosx/conf/sonar-scanner.properties

# sonar-scanner.properties文件配置信息
sonar.host.url=http://localhost:9000
sonar.login=图中sonar上生成的login令牌
sonar.sourceEncoding=UTF-8

4.服务端开启认证
默认是不开启的,可以手动开启;开启令牌后就只能有令牌的进行扫描

2.开始扫描代码

在项目的根目录下创建文件"sonar-project.properties",每执行一个新项目都需要配置
根据不同的代码进行配置文件
1.java代码
选则maven,不需要配置文件,只需要java代码集成到maven中即可

终端在项目跟目录下执行sonar的提示

2.php\python代码

# sonar-project.properties文件配置信息 for PHP\Python
# 项目key
sonar.projectKey=anodoo-php
# 项目名称
sonar.projectName=anodoo-php
# 项目版本
sonar.projectVersion=1.0
# 编码集:UTF-8
sonar.sourceEncoding=UTF-8

sonar-project.properties文件配置完成后,终端执行sonar的提示

# 终端执行
sonar-scanner \
  -Dsonar.projectKey=anodoo-php \
  -Dsonar.sources=. \
  -Dsonar.host.url=http://localhost:9000 \
  -Dsonar.login=bf99a2f1ab887a054d658cc6ccfeccd5e853f77c

PS:如果失败了,记得最后加上-X,查看具体报错信息

3.查看扫描结果

刷新sonar,首页显示扫描的结果


ps:每次可能都需要重新生效下配置文件,否则全局无法使用mvn -version或者sonar-scanner -h
open ~/.bash_profile
~ source ~/.bash_profile

相关文档:https://www.kancloud.cn/guanfuchang/sonar/909453
作者提供了java集成到maven的demo