代码安全扫描SonarQube

最新推荐文章于 2024-08-26 15:58:47 发布
最新推荐文章于 2024-08-26 15:58:47 发布
阅读量569 收藏 10
点赞数 4
分类专栏: 互联网 网络安全 渗透测试 文章标签: 安全 网络安全 web安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Javachichi/article/details/137970685
版权

代码安全分析工具很多,用起来都是差不多的,今天介绍个最简单的方法用sonarqube进行扫描,适合大多数人使用,后面会逐个介绍其他工具和使用方法如fortify,checkmarx。

这次用到的环境工具如下:

sonarqube-8.9.0.43852

sonar-scanner-cli-4.6.1.2450-windows

jdk-11.0.11_windows-x64_bin.exe

postgresql-10.16-2-windows-x64.exe

node-v14.17.0-x64.msi

DVWA(php项目)

简单介绍下:

sonarqube下载,地址是https://www.sonarqube.org/downloads/,社区版就行了;需配置数据库。

jdk11下载(其他更高版本不行),建议用11,装c盘就行,安装一步到底无需配置

地址是https://www.oracle.com/java/technologies/javase-jdk11-downloads.html如果下载要登录的话这里拿oracle账户

http://bugmenot.com/view/oracle.com

sonarscanner是扫描的,下载是

https://docs.sonarqube.org/latest/analysis/scan/sonarscanner/,无需配置

nodejs要安装,不然扫不了js文件,sonar控制台也会警告,下载是

https://nodejs.org/en/,装c盘就行,安装一步到底无需配置

DVWA是演示的php漏洞项目,下载https://dvwa.co.uk/

创建数据库,创建模式,修改sonarqube配置文件

图片

然后启动sonarqube,记住放在非C盘,别问为什么

图片

登录进去随便创建个项目,项目下会给你一段下面的命令. 记住token

图片

项目解压到sonarscanner目录就行了,或者麻烦点配置个环境变量,地址栏输入cmd运行这段命令

图片

图片

扫描顺利完成,过程没有error,只有2个小告警

图片

代码扫描完成:

图片

查看安全漏洞:sql注入,XSS, RCE

图片

为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

Java代码安全性分析:用漏洞扫描构建合规防火墙,让代码漏洞像量子坍缩般消失!
墨夶的博客
04-13 869
从AST解析到量子纠缠,Java用代码突破安全合规的极限!它用静态分析实现0秒漏洞检测,用动态监控确保运行时安全,用机器学习预测未来漏洞!它用依赖项扫描让第三方库漏洞无处遁形,用GDPR框架让敏感数据处理合规率飙升到99.9%!它用量子-经典混合引擎让代码安全快到违反物理定律!
【云原生技术】代码扫描sonarqube工具的可靠性安全性等的ABCDE等级分别代表的是什么
最新发布
weixin_46453070的博客
04-12 638
实际评级标准可能根据 SonarQube 版本提供的规则集、配置项(尤其是对 Bug / Code Smell / Vulnerability 的自定义阈值)而调整。安全性(Security)**等指标,都会通过 A、B、C、D、E 这五个等级来表达所检测到的问题严重程度及影响范围。在 SonarQube 或类似工具中,“安全复审”一般指对代码中**安全漏洞(Vulnerabilities),建议查看与本地平台版本相对应的文档,以免因版本差异导致规则或评级含义不完全一致)。等相关章节以获得更精准的描述。
使用sonarqube对本地代码扫描
xiao_ying_bo_ke的博客
05-30 2009
扫描成功后登录sonarqube,根据自己创建标识搜寻扫描好的项目,点击项目,产看质量分析。选择某个bug,查看相关信息,点击为何是问题,会描述问题原因以及解决方案。可以点击查看bug,以及一些安全热点。
sonarqube扫描代码
李习的博客
01-18 1263
由于安装是9.9版本的sonarqube,这家伙好像已经是java 11的jdk了。于是又安装了很长时间的jdk 11。网上找了好多文章,似乎。。。。都是错了,这里找了一个依然是错的,但是有价值的。主要有两个方法,方法1是手动配置文件,手动改。方案二是用jenv。由于没有用过jenv,又不想去弄jenv,所以就选择的手动配置文件。jenv的一个。
代码检查工具 Sonar 安装&使用
weixin_34319111的博客
12-29 1181
本文主要说明Sonar的安装方式并附上依赖安装包,本文目标只实现本地搭建测试的Sonar环境,以及本地的测试项目的非定制化扫描 本机测试环境:Win10-X64,.vs2017 依赖包: 1.SDK Java的东东 2.sonarqube静态代码检查工具,B/S 3.sonar-scanner-msbuild 真正的代码扫...
2024新版SonarQube+JenKins+Github联动代码扫描(2)-SonarQube代码扫描
03-05 1460
这是2024新版SonarQube+JenKins+Github联动代码扫描专题的第二部分,也是核心内容,SonarQube目前是半开源,可以自定义漏洞扫描规则,这个后面有时间可以出一篇教程,本文主要是讲2024最新版的配置和如何进行代码扫描。提示:以下是本篇文章正文内容,下面案例可供参考JenKins安装与配置是SonarQube+JenKins+Github联动代码扫描的第二步。2024新版SonarQube+JenKins+Github联动代码扫描(1)-JenKins安装与配置。
SonarQube代码扫描
qq_31055683的博客
08-17 9527
sonarqube 代码扫描
SonarQube安全扫描_sonarqube 安全扫描
2401_84253380的博客
04-26 814
下载sonar-pdfreport-plugin-4.0.0.jar,将下载好的插件拷贝到SonarQube安装目录的/exensions/plugins目录下,然后重启SonarQube服务。【项目】-【配置】-【增加构建步骤】,并在Analysis properties中配置sonar参数,保存后点击构建,控制台可查看到sonar执行成功。路径:【系统管理】-【系统设置】-【SonarQube servers】-配置参数并选择刚刚设置的全局凭据。可点击数字查看详情,可查看代码具体情况。
2024新版SonarQube+JenKins+Github联动代码扫描(2)-SonarQube代码扫描_docker sonarqube
2401_84969722的博客
05-12 992
这是2024新版SonarQube+JenKins+Github联动代码扫描专题的第二部分,也是核心内容,SonarQube目前是半开源,可以自定义漏洞扫描规则,这个后面有时间可以出一篇教程,本文主要是讲2024最新版的配置和如何进行代码扫描。提示:以下是本篇文章正文内容,下面案例可供参考自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
【项目实战】使用DevOps工具链SonarQube实现静态代码扫描,并且导出相应的报告
本本本添哥
04-22 1705
下面是它们的区别:静态代码扫描是一种分析源代码的方法,它不需要运行代码。 它通过检查代码中的语法、结构和规则来查找潜在的问题。 静态代码扫描可以自动化执行,并且可以在代码提交之前或在构建过程中进行。 它可以帮助开发人员发现代码中的潜在问题,并提供修复建议。在Java中,您可以使用静态代码分析工具,例如Sonar、FindBugs或Checkstyle,来执行静态代码扫描。 这些工具可以检查代码中的常见问题,例如空指针引用、未使用的变量和不良的代码风格。动态代码扫描是一种分析正在运行的代码的方法。 它通过模拟
代码检查工具Sonar
lu_linux的博客
09-11 1607
sonar介绍 Sonar 是一个用于代码质量管理的开放平台。通过插件机制,Sonar 可以集成不同的测试工具,代码分析工具,以及持续集成工具。与持续集成工具(例如 Hudson/Jenkins 等)不同,Sonar 并不是简单地把不同的代码检查工具结果(例如 FindBugs,PMD 等)直接显示在 Web 页面上,而是通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从...
代码安全扫描及服务技术方案.pdf
10-28
代码安全扫描及服务技术方案!源代码安全扫描及服务技术方案!
看这里,全网最详细的Sonar代码扫描平台搭建教程
热门推荐
公众号:【伤心的辣条】
08-17 1万+
官网:https://www.sonarqube.org/ 1.sonar简介 sonar是一款静态代码质量分析工具,支持Java、Python、PHP、JavaScript、CSS等25种以上的语言,而且能够集成在IDE、Jenkins、Git等服务中,方便随时查看代码质量分析报告。 sonar通过配置的代码分析规则,从可靠性、安全性、可维护性、覆盖率、重复率等方面分析项目,风险等级从A~E划分为5个等级; 同时,sonar可以集成pmd、findbugs、checkstyle等插件来扩展使用其他规则来.
sx:快速强大易于使用的现代化网络扫描器
m0_59598029的博客
08-02 479
运行速度比Nmap要快30倍;ARP扫描:支持扫描本地网络以检测活动设备;ICMP扫描:使用高级ICMP扫描技术来检测活动主机和防火墙规则;TCP SYN扫描:传统半开放扫描以查找开放TCP端口;TCP FIN/NULL/XMAS扫描:扫描某些防火墙绕过技术;自定义TCP扫描:发送任意形式数据包,并获得回复数据包中设置的所有TCP标志的结果;UDP扫描:扫描UDP端口并获取全部ICMP响应,以检测开放端口和防火墙规则;
VectorScan:高效、智能的代码安全扫描利器
gitblog_00055的博客
04-26 540
VectorScan:高效、智能的代码安全扫描利器 vectorscan 项目地址: https://gitcode.com/gh_mirrors/ve/vectorscan 是一个开源的代码安全扫描工具,...
源码安全扫描
qiaotl的博客
05-10 5158
利用Spotbug进行静态代码安全扫描
SonarQube安全扫描
qq_53058639的博客
04-26 1584
一、Jenkins安装集成sonarqube1.安装插件2.配置权限(Jenkins访问Sonar的token)3.jenkins创建访问SonarQube凭据4.配置服务地址5.全局工具配置6.项目中增加构建步骤二、本地安装集成sonarqube1.准备工作1.1 安装JDK11+1.2 安装SonarQube2.使用SonarQube进行安全扫描2.1 启动SonarQube2.2 创建项目三、SonarQube导出PDF报告1.安装插件2.导出PDF报告。
持续集成(CICD)-- sonar代码审查(静态扫描)
qq_45004869的博客
03-12 1685
sonar-scanner.bat/sonar-scanner.sh的绝对路径> -D"sonar.projectKey=<扫描项目名(自定义)>" -D"sonar.host.url=<Sonar的服务地址>" -D"sonar.login=<Sonar的服务用户名>" -D"sonar.password=<Sonar的服务密码>":进入到【开发项目】—>构建—>Execute SonarQube Scanner 【注意构建的顺序:比如部署构建的代码要在扫描之后】下载完成之后是一个压缩文件,解压之后;
SonarQube 和 Sonar scanner 进行前端代码质量扫描
vanora1111的博客
08-26 1914
此次示范扫描的是本地代码,仅供参考希望能帮助到你~
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值