SonarQube + find-sec-bugs插件进行代码审计

最新推荐文章于 2024-02-18 15:04:36 发布
最新推荐文章于 2024-02-18 15:04:36 发布
阅读量1.3k 收藏
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/104991397
版权 
# 下载,从这里开始应该使用普通用户操作
wget https://binaries.sonarsource.com/Distribution/sonarqube/sonarqube-7.3.zip

# 解压
unzip sonarqube-7.3.zip && cd sonarqube-7.3/

# 修改配置文件
vim ./conf/sonar.properties
# 取消注释如下三行,并添加数据库账号密码

sonar.jdbc.username=root
sonar.jdbc.password=password

sonar.jdbc.url=jdbc:mysql://localhost:3306/sonar?useUnicode=true&characterEncoding=utf8&rewriteBatchedStatements=true&useConfigs=maxPerformance&useSSL=false


# 如果java环境是配置安装的,需要指定java环境:vim sonarqube-7.7/conf/wrapper.conf

# 启动sonarqube
./bin/linux-x86-64/sonar.sh start

# 访问:http://10.10.10.12:9000/sessions/new
# 账号:admin 密码:admin

# 重启服务
./bin/linux-x86-64/sonar.sh restart

参考:

  • https://bloodzer0.github.io/ossa/application-security/code-audit/sonarqube/

安装完成之后,在WEB界面点击“分析新项目”,

在这里插入图片描述
在需要扫描的项目下执行:

mvn sonar:sonar   -Dsonar.host.url=http://192.168.85.129:9000   -Dsonar.login=eb3f1c1e1e19785a2b65ffbf96a6b80491bb92ae

分析完成之后:
在这里插入图片描述
然后使用它生成的url去访问,查看分析报告:

报告不咋样,安装find-sec-bugs插件:
在这里插入图片描述
如果网络不稳(插件地址在github的aws上),手动安装插件需要将jar包放到extensions/plugins目录下,进入这个目录可以看到之前下载的中文包插件已经安装在这里了:
在这里插入图片描述

caiqiiqi
关注
专栏目录
30分钟快速完成Sonarqube+Sonar-scanner代码扫描环境(windows系统)
xxbaike的专栏
11-13 1115
0X00下载 需要java环境,JDK下载安装不是本文重点,不再赘述。 https://www.sonarqube.org/downloads/ https://binaries.sonarsource.com/Distribution/sonar-scanner-cli/ Sonarqube推荐下载最新LTS稳定版,Sonar-scanner推荐下载最新版本。 PS:Sonarqube你可以理解为本地的服务器端。Sonar-scanner可以理解为扫描客户端,执行命令时把扫描结果发送到本地Son
windows下sonarqube+sonar-runner安装记录
feinifi的博客
04-04 651
这里安装的sonarqube版本比较老旧5.1.2,因为我安装最新的sonarqube在启动的时候,需要jdk版本比较高,就放弃了最新版本安装。sonarqube是一套代码质量管理工具系统,sonar-runner是一个静态扫描代码的工具,它可以把扫描的结果交给sonarqube来管理。为了后面在命令行下执行sonar-runner方便,这里把sonar-runner-2.4\bin加入Path环境变量。配置文件中,这些配置项都有,我们只需要打开注释,添加上自己环境相关的配置。
SonarQube的FindBugs插件sonar-findbugs-plugin.jar,包含FindBugs Security Audit等规则
05-09
SonarQube的FindBugs插件sonar-findbugs-plugin.jar(版本:4.0.1-SNAPSHOT),包含FindBugs Security Audit等规则,可以离线集成到sonarqube
阿里代码审计插件
03-26
插件,阿里审查代码插件插件插件插件插件插件
idea java代码审计必备插件
Thunderclap的博客
07-05 3833
idea代码审计常用插件
idea代码审查插件SonarLint & Alibaba Java Coding Guidelines
java技术博客
02-10 443
参考网址:总结。
静态代码审计工具Cobra/Cobra-W/find-sec-bugs
公众号shadow sock7
02-03 4809
之前童话师傅写过一篇Cobra静态代码审计工具的源码分析,所以先看看这个工具吧。 源码在: https://github.com/WhaleShark-Team/cobra 后来还有Lo写的一个改版: https://github.com/LoRexxar/Cobra-W 都试试吧。 ...
find-sec-bugs-demos:存储库,展示具有各种技术的各种配置配方
01-30
查找安全错误:演示项目 该存储库中提供的项目可用于查看具有各种构建技术(Maven,Gradle,SBT)的配置配方。 这些项目还可以用于通过FSB测试FindBugs。 其他易受攻击的Java应用程序 这是出于脆弱目的而构建的项目...
java 代码安全扫描,Find-Sec-Bugs 静态代码安全审计神器
weixin_30619981的博客
03-20 1701
前言是否有在开发完项目发布以后才被告知你的项目代码存在安全问题,还要回去重温代码逻辑,重新修改发布,是不是特别不想做这一件重复劳动的事情?这边给大家介绍一款可在本地使用的代码安全扫描插件,方便在开发阶段自动化安全检查,降低漏洞修复时间和减少漏洞出现的概率。插件简介插件介绍:Find-Sec-Bugs是一款本地 bug 扫描插件 “FindBugs-IDEA” 的 Java 安全漏洞规则扩展库,它...
find-sec-bugs:SpotBugs插件,用于Java Web应用程序和Android应用程序的安全审核。 (还与Kotlin,Groovy和Scala项目一起工作)
02-03
Find Security Bugs是用于Java Web应用程序安全审核的插件。 网址: : 主要开发商 来自 来自 杰出贡献 注射污染分析的重大改进和重构。 创建用于硬编码密码和加密密钥的检测器。 与污点分析相关的改进和错误...
代码审计工具汇总
10-06
配套 【随 亦】的博客《代码审计--8--环境搭建+工具使用》一文的资料。注意文档哦
findsecbugs
07-24
findsecbugs为java 的代码静态扫描插件,可以扫描出代码中存在的问题
sonar-findbugs:SonarQube的SpotBugs插件
05-04
SonarQube Spotbugs插件 说明/功能 该插件需要,并使用 , 和提供编码规则。 用法 在质量配置文件中,从Spotbugs,fb-contrib或Find Security Bugs规则存储库中激活一些规则,然后对项目进行分析。 配置 可以使用声纳Web界面(请参见“常规/ Java”部分)或项目属性来配置此插件。 置信度级别(sonar.findbugs.confidenceLevel):指定报告问题的置信度阈值(以前称为“优先级”)。 如果设置为“低”,则置信度不用于过滤错误。 如果设置为“中”(默认值),则将置信度低的问题。 如果设置为“高”,则仅报告高置信度错误。 努力(sonar.findbugs.effort):错误发现者的努力。 有效值为“最小值”,“默认值”和“最大值”。 设置“最大”可以提高精度,但同时也会增加内存消耗。 排除(sonar.findb
这五款牛逼的 IDEA 插件,堪称代码质量检查利器!
最新发布
程序员高级码农的博客
02-18 9521
Alibaba Java Coding Guidelines 专注于Java代码规范,目的是让开发者更加方便、快速规范代码格式。该插件在扫描代码后,将不符合规约的代码按 Blocker、Critical、Major 三个等级显示出来,并且大部分可以自动修复,它还基于 Inspection 机制提供了实时检测功能,编写代码的同时也能快速发现问题所在。阿里巴巴规约扫描包括:OOP规约并发处理控制语句命名规约常量定义注释规范。
findbugs与sonar
qq_18458487的博客
05-19 4102
sonarqube安装配置相关
SonarQube的使用-集成Findbugs
weixin_44689968的博客
04-08 4579
一丶SonarQube简介 1.sonar是什么 Sonar是一个用于代码质量管理的开源平台,用于管理代码的质量,通过插件形式可以支持二十几种语言的代码质量检测,通过多个维度的检查了快速定位代码中潜在的或者明显的错误。 2. SonarQube与Sonar SonarQube是sonar的服务端,相当于一个web服务器中的tomcat,用来发布应用,在线浏览分析等。 二丶安装 基于Window10+Sonqube7.6+Mysql5.7+SonarScanner4.2+JDK1.8 1.官网下
常见代码审计工具,代码审计为什么不能只用工具?
Uguardsec的博客
02-25 1392
代码审计是一种发现程序漏洞,安全分析为目标的程序源码分析方式。今天主要分享的是几款常用的代码审计工具,以及代码审计工具有哪些优缺点?
Find-Sec-Bugs 漏洞范例
热门推荐
zhaohonghan的博客
04-03 1万+
Find-Sec-Bugs 漏洞范例 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: ...
几款Java源码扫描工具(FindBugs、PMD、SonarQube、Fortify、WebInspect)
没刮胡子的程序员专栏
11-23 9227
几款Java源码扫描工具FindBugs、PMD、SonarQube、Fortify、WebInspect
eslint-config-tidy: 推广一致的代码风格
它不仅帮助开发者检测代码中的潜在问题,还能对代码进行格式化,确保遵循规定的样式规则,并修复一些常见的编程错误。 最后,文件名称列表中的`eslint-config-tidy-master`指的是eslint-config-tidy配置文件所在的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值