sonarqube 通过 mvn 扫描代码

最新推荐文章于 2024-05-23 17:18:07 发布
最新推荐文章于 2024-05-23 17:18:07 发布
阅读量748 收藏 9
点赞数 21
文章标签: 安全 代码规范
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37698777/article/details/138313734
版权

项目场景:

提示:

独立部署项目,客户需要提供sonar代码扫描报告,作为一个java后端,没有用过sonar工具,就在网上扒拉最终实现了扫描

尝试过程中遇到的问题

jdk,sonar版本!!!

由于项目过于老旧,使用的jdk版本1.8,从官网下载的sonar包是最新的(需要jdk17),所以不匹配

需要找到sonar 7.8之前的版本,才能进行扫描

1.SonarQube 7.5
2.中文插件sonar-l10n-zh-plugin-1.25.jar(可选)  
3.PDF输出报告插件sonar-pdfreport-plugin-3.0.3.jar(可选,需要导出PDF结果报告则添加) 
4.mysql 5.6~8.0
5.jdk8

链接:https://pan.baidu.com/s/157XQPYUHvozFyLV1MWIhKA 
提取码:zalv

一、SonarQube服务 搭建步骤:

1. 上传SonarQube至服务器:

2. 解压zip包至当前目录:
    unzip sonarqube-7.5.zip

3. 上传中文插件sonar-l10n-zh-plugin-1.25.jar(可选,需要中文界面则添加)
        将插件移动至目录./sonarqube-7.5/extensions/plugins下 

4.上传PDF输出报告插件sonar-pdfreport-plugin-3.0.3.jar(可选,需要导出PDF结果报告则添加)
        将插件移动至目录./sonarqube-7.5/extensions/plugins下 

5.修改配置文件 ./sonarqube-7.5/conf/sonar.properties,如下:主要修改数据库配置:
        注意:要提前在数据库实例上建库 sonar

 sonar.jdbc.username=用户名
    sonar.jdbc.password=密码
    sonar.jdbc.url=jdbc:mysql://主机ip地址:3306/sonar?allowMultiQueries=true&useUnicode=true&characterEncoding=utf8&rewriteBatchedStatements=true&useConfigs=maxPerformance&useSSL=false&allowPublicKeyRetrieval=true

6.修改配置文件./sonarqube-7.5/conf/wrapper.conf,如下:主要修改jdk配置

    

7.启动sonarqube服务:
         注意:不能使用root用户启动,需要自建用户启动,因为启动时会启动es组件,而es组件要求不能以root用户身份启动。(示例使用sonaruse启动,需要将sonarqube的所有文件的所属都改为sonaruse,使用命令: chown -R sonaruse:sonaruse sonarqube-7.5

启动:

    ./bin/linux-x86-64/sonar.sh start

8.通过浏览器访问SonarQube服务:
        注意:访问失败请排查进程和端口9000是否正常监听,之后排查防火墙和安全组策略,日志正常却访问不了应该是防火墙或安全组问题。
        地址:http://host:9000/
        默认账号:admin
        默认密码:admin

9.SonarQube服务的PDF报告输出插件的相关配置:

      

    如下配置:

      

    SonarQube服务的配置结束

二、SonarScanner 扫描配置:

参考官方文档 SonarScanner for Maven

先决条件

  • Maven 3.2.5+
  • 至少使用 SonarQube 服务器支持的最低 Java 版本

    settings.xml 文件中添加如下配置

<pluginGroups>
    <!-- pluginGroup
     | Specifies a further group identifier to use for plugin lookup.
    <pluginGroup>com.your.plugins</pluginGroup>
    -->
    <pluginGroup>org.sonarsource.scanner.maven</pluginGroup>
</pluginGroups>


<profiles>
    <profile>
        <id>sonar</id>
        <activation>
            <activeByDefault>true</activeByDefault>
        </activation>
        <properties>
            <!-- Optional URL to server. Default value is http://localhost:9000 -->
            <sonar.host.url>http://ip:9000</sonar.host.url>
            <!-- 配置自己的账号、密码,就无需每次使用token密钥 -->
            <sonar.login>admin</sonar.login>
            <sonar.password>admin</sonar.password>
        </properties>
    </profile>
 </profiles>

 项目 pom.xml文件添加配置

<build>
	   <plugins>
            <plugin>
		        <groupId>org.sonarsource.scanner.maven</groupId>
		        <artifactId>sonar-maven-plugin</artifactId>
		        <version>3.9.1.2184</version>
		    </plugin>
		</plugins>
</build>

三、扫描

在项目pom.xml所在位置,打开shell窗口,执行 mvn clean compile sonar:sonar

扫描完成,生成报告

yzk_2017
关注
  • 21
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
sonar-scanner-maven:适用于Maven的SonarQube扫描
02-03
适用于Maven的SonarQube扫描仪有问题或反馈吗? 有关支持问题(“我如何?”,“我遇到此错误,为什么?”,...),请前往。 有可能您已经回答了与您相似的问题。 请注意,此论坛是一个社区,因此需要标准的娱乐活动...
sonarqube 通过 mvn 扫描代码_sonarqube maven扫描
2401_84968303的博客
05-13 712
独立部署项目,客户需要提供sonar代码扫描报告,作为一个java后端,没有用过sonar工具,就在网上扒拉最终实现了扫描由于项目过于老旧,使用的jdk版本1.8,从官网下载的sonar包是最新的(需要jdk17),所以不匹配需要找到sonar 7.8之前的版本,才能进行扫描2.中文插件sonar-l10n-zh-plugin-1.25.jar(可选)3.PDF输出报告插件sonar-pdfreport-plugin-3.0.3.jar(可选,需要导出PDF结果报告则添加)5.jdk8。
sonarqube 通过 mvn 扫描代码_sonarqube maven扫描器(1)
2401_84968269的博客
05-13 514
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
sonarqube扫描代码
李习的博客
01-18 540
由于安装是9.9版本的sonarqube,这家伙好像已经是java 11的jdk了。于是又安装了很长时间的jdk 11。网上找了好多文章,似乎。。。。都是错了,这里找了一个依然是错的,但是有价值的。主要有两个方法,方法1是手动配置文件,手动改。方案二是用jenv。由于没有用过jenv,又不想去弄jenv,所以就选择的手动配置文件。jenv的一个。
sonarqube配置本地扫描代码
pxzsky的专栏
01-09 555
最后,把mvn命令粘出来,在本机项目根目录中执行即可。1)添加pluginGroup。
docker上安装sonarqube
11-09
csdn上面必须设置资源分数如果没有积分可以私信我,直接发给你。纯属安装笔记,sonarqube扫描maven项目命令比较简单 直接运行 mvn clean package sonar:sonar
Android代码-gradle-mvn-push
08-07
gradle-mvn-push See this blog post for more context on this 'library': http://chris.banes.me/2013/08/27/pushing-aars-to-maven-central/. Usage 1. Have a working Gradle build This is upto you. 2. Update...
SonarExport:将SonarQube Issues导出到Excel报告
05-19
Pixolut声纳问题出口商此应用程序有助于从SonarQube服务导出问题。配置打开resources/app.properties文件,然后输入声纳配置: # sonar.host=...
本地mvn仓库清理无用jar包
08-02
本地mvn仓库清理无用jar包
解锁Nginx跨域谜题:3步打造安全高效的CORS策略
2401_85000826的博客
05-16 481
Nginx作为一款强大的Web服务器和反向代理服务器,经常被用于处理跨域资源共享(CORS,Cross-Origin Resource Sharing)策略,以允许或限制不同源之间的资源请求。CORS是一种安全策略,用于决定Web浏览器是否应允许从一个域名加载的网页访问另一个域名下的资源。下面将深入解析如何在Nginx配置中实现对origin(请求来源)的限制,以精确控制跨域请求。
IEN在Web3.0中的性能与安全优势
qq_29268247的博客
05-17 419
通过分布式架构、区块链技术和智能数据管理,IEN不仅提高数据传输效率和处理速度,还大幅增强网络安全性和稳定性。通过命名数据网络,IEN实现了高效的数据分发和缓存机制,减少了数据传输路径,提高了网络吞吐量。对比实验表明,IEN在处理并发请求时的延迟减少了40%,传输速率提高了30%。实验结果显示,面对突发流量时,IEN的吞吐量稳定性提高了35%,有效避免了网络拥塞。实验数据显示,IEN的加密机制将数据泄露事件减少了70%,大幅提升了数据隐私保护水平。IEN整合区块链技术,提供去中心化的信任机制。
软考高级架构师:软件系统安全相关概念完整性、不可否认性、可控性、机密性、安全审计
明明如月的技术博客
05-19 212
了解软件系统安全的几个重要概念:完整性、不可否认性、可控性、机密性和安全审计,可以通过一些日常生活中的例子来帮助理解。
怎样使用安全组?
最新发布
2301_78491269的博客
05-23 195
目前,VPC 类型实例的数量上限是 2000,对所有 VPC 类型实例的安全组都生效。需要注意的是,上限 2000 指的是所有实例包含的私网 IP 个数(主网卡和辅助网卡共享此配额),而不是实例个数。说明:目前,一个实例中的每个弹性网卡默认最多可以加入 5 个安全组,所以一个实例的每个弹性网卡最多可以包含 500 条安全组规则,能够满足绝大多数场景的需求。不可以,每个安全组最多可以包含 100 条安全组规则。如果不存在冗余规则,请拆分安全组。每个安全组的入站规则与出站规则的总数不能超过 100。
等保测评-安全通信网络与安全区域边界
2403_84237550的博客
05-23 461
等保测评,全称为网络安全等级保护测评,是中国网络安全领域的一项重要工作,旨在通过标准化的测评流程,确保信息系统的安全等级保护措施符合国家相关标准。在等保测评中,"安全通信网络"与"安全区域边界"是两个关键的测评领域。
安全警钟】APP如何筑起坚不可摧的防御,抵御黑客攻击?
NSME1的博客
05-20 434
做好安全防御
全面解析防静电措施:保障工业安全,预防静电危害
YOUSUTO的博客
05-16 428
静电是一种常见的物理现象,由于电荷的不平衡而产生。在特定的环境中,静电可能会带来危害,如损坏电子设备、引起火灾等。因此,采取适当的防静电措施是非常重要的。总之,防静电需要采取综合的措施,从环境、设备、人员等多个方面入手,才能有效地减少静电的危害。
【Linux安全】Firewalld防火墙基础
weixin_62922268的博客
05-23 229
体系。
什么样的数据摆渡设备,可以满足不同网间数据的安全传输需求?
文件数据安全交换
05-23 230
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。专业的跨网文件交换平台:比如飞驰云联《Ftrans Ferry跨网文件安全交换系统》:提供企业文件交换、病毒查杀、文件内容检测、审核审批、权限管控、日志审计等功能,实现安全、高效、可靠、便捷的文件交换。同时支持会签、或签,支持转审,可设置抄送人。
sonarqube mvn check限制内存
05-10
你可以使用以下命令来设置Maven在运行SonarQube分析期间使用的最大内存限制: ``` mvn sonar:sonar -Dsonar.host.url=<your_sonarqube_url> -Dsonar.login=<your_sonarqube_token> -Dsonar.javaOpts="-Xmx4096m" ``` 在这个命令中,`-Dsonar.javaOpts="-Xmx4096m"` 设置Maven在运行SonarQube分析期间使用的最大内存限制为4 GB。你可以将`-Xmx`参数的值更改为你需要的内存限制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值