代码审计[Sonar规则开发2]

最新推荐文章于 2024-08-29 15:59:44 发布
最新推荐文章于 2024-08-29 15:59:44 发布
阅读量524 收藏
点赞数
分类专栏: 杂项 文章标签: sonarqube
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39325340/article/details/79974656
版权

安全设置

1.启用用户安全认证

配置LDAP登陆:

1.下载ladp插件
2.ldap登陆配置:
sonar.jdbc.username=sonar
sonar.jdbc.password=sonar
#score.jdbc.driverClassName=com.mysql.jdbc.Driver
sonar.jdbc.url=jdbc:mysql://localhost:3306/sonar?useUnicode=true&characterEncoding=utf8&rewriteBatchedStatements=true&useConfigs=maxPerformance
sonar.search.host=
sonar.web.javaAdditionalOpts=
sonar.web.port=9000
sonar.web.http.maxThreads=50
sonar.web.http.minThreads=5
sonar.web.http.acceptCount=25
sonar.ce.workerCount=1
sonar.search.port=9001
sonar.search.host=127.0.0.1

#----------------------
sonar.security.realm=LDAP
sonar.authenticator.createUsers=true
ldap.url=ldap://1.1.1.1
ldap.bindDn=cn=xx,cn=users,DC=xx,DC=local
ldap.bindPassword=xxx
ldap.authentication=simple

ldap.user.baseDn=dc=xxx,dc=local
ldap.user.request=(&(objectClass=user)(sAMAccountName={login}))
ldap.user.realNameAttribute=cn

ldap.group.baseDn=dc=xxx,dc=local
ldap.group.request=(&(objectClass=group)(member={dn}))
ldap.group.idAttribute=sAMAccountName


3.访问sonarqueb,直接使用域用户名和密码登陆

 

规则加载

第三方规则:
1.下载FindBugs的插件包,放在sonarqube的extensions-->plugins目录下:


2.重启服务默认就把FindBugs规则激活了;

自定义规则:
1.按照自定义第三方模板编写或者改写FindBugs,按照第三方规则一样操作

 

 

 

使用

1.创建一个test,然后自定义规则,把test设置成默认

 

 

 

 

 

 

配置FindBugs

2.使用sonarqube scanner进行扫描

注意:

只有自定义创建的质量配置,才可以自定义规则组;

 

_0x00
关注
专栏目录
sonarQube代码质量管理
neven7的专栏
08-10 1361
SonarQube is an open platform to manage code quality.7个维度管理源码:source code:https://github.com/SonarSource/sonarqubesonarQube组件:1.One DB to store: the configuration of the SonarQube instance the quality
三大代码审计工具对比
SourceBrella的博客
01-21 4401
三大代码审计工具的对比(源伞科技Pinpoint、Checkmarx、Fortify) 源伞科技Pinpoint 源伞科技2016年由香港科大团队创立,立足于国际水平的学术研究积累, 秉承工匠精神,致力用最先进的自动程序分析技术保障软件质量,为企业提供以人工智能为基础的工业级程序缺陷自动挖掘技术,工具和解决方案。核心产品Pinpoint可无缝接入到软件开发人员和测试人员的现有工作流程中,全面自动分...
sonar代码审查
weixin_43273051的博客
02-11 7123
sonarqube简介 sonarqube是一个用的比较多的代码审查工具,支持20+ 种编程语言,经过sonarqube代码审查后把出现在代码里的问题都暴露出来并进行分类,开发人员根据严重程度解决排期,将问题数量降低,这样就可以创建并维护一个干净的代码基础。即使是遗留项目,保持新代码的整洁,也能最终获得一个值得骄傲的代码基础。 七个方面检测代码质量 检查代码是否符合编程标准:命名规范、编写规范等...
软件测试学习笔记丨静态测试与代码审计 SonarQube
最新发布
ceshiren_com的博客
08-29 1335
Sonar 是一个用于代码质量管理的开放平台。通过插件机制,Sonar 可以集成不同的测试工具、代码分析工具,以及持续集成工具。与持续集成工具(例如 Hudson/Jenkins 等)不同,Sonar 并不是简单地把不同的代码检查工具结果(例如 FindBugs,PMD 等)直接显示在 Web 页面上,而是通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便地对不同规模和种类的工程进行代码质量管理。
代码审计sonarqube实战
果果的博客
09-23 743
介绍: 1.sonar是一款静态代码质量分析工具,支持Java、Python、PHP、JavaScript、CSS等25种以上的语言,而且能够集成在IDE、Jenkins、Git等服务中,方便随时查看代码质量分析报告; 2.sonar通过配置的代码分析规则,从可靠性、安全性、可维护性、覆盖率、重复率等方面分析项目,风险等级从A~E划分为5个等级; 同时,sonar可以集成pmd、findbugs、checkstyle等插件来扩展使用其他规则来检验代码质量; 组成: 1.一台SonarQube Serve
代码审计】使用SonarQube进行代码质量分析管理
weixin_33766805的博客
05-22 328
2019独角兽企业重金招聘Python工程师标准>>> ...
代码审计[Sonar规则开发]
0x00的博客
04-21 268
环境要求: jdk 1.8 maven 3.0 以上 步骤:   创建一个SonarQube插件 增加相关依赖 创建自定义rules 生成插件的jar包 将该jar包放在SONARQUBE_HOME/extensions/plugins目录下 重启SonarQube     自定义规则demo模板: https://github.com/Canbing007/reposit...
Sonar代码规范
02-12
2. 潜在的缺陷 sonar可以通过PMD,CheckStyle,Findbugs等等代码规则检测工具检 测出潜在的缺陷。 3. 糟糕的复杂度分布 文件、类、方法等,如果复杂度过高将难以改变,这会使得开发人员 难以理解它们, 且如果没有自动...
deploy-sonar代码扫描分析工具
03-01
6. **规则定制**:允许用户自定义代码检查规则,适应团队的编码规范和项目需求。 三、SonarQube的实际应用 1. **持续集成/持续部署(CI/CD)**:与Jenkins、GitLab CI/CD等工具集成,实现每次提交都进行代码扫描,...
代码堡垒:Python代码安全审计工具全解析
07-26
### 代码堡垒:Python代码安全审计工具全解析 在当今高度数字化的世界中,软件安全已成为一个不容忽视的重要议题。Python作为一种流行的高级编程语言,在软件开发领域占据着举足轻重的地位。由于其简洁的语法、易学...
Eclipse代码审计工具实战:安全编码的实践指南
代码审计是指对软件代码进行系统的检查或审查,目的是发现代码中的安全漏洞、逻辑错误、性能瓶颈及其他问题。它可以帮助开发人员提前发现和修复潜在问题,提高软件质量,避免后期的修复成本。安全编码则是指在编码...
SonarQube上使用java自定义JavaScript检测规则
08-21
网上使用java开发sonarqube的检测规则的文档很少,本文档较为详细描述了JavaScript扩展的开发过程。
sonar-js-rules:用于使用SonarQube分析JavaScript的自定义规则
02-04
声纳JS规则 Wikia的自定义SonarQube规则,用于分析JavaScript文件。 要求 JDK 8 入门 阅读有关构建和SonarQube官方文档。 每个新引入的规则都应该有一个带有测试注册和实际规则行为的固定装置的相应单元测试。
测试左移——代码审计SonarQube 平台搭建
python全栈
08-31 451
可靠性 bugs可维护性 code smells安全性 Vulnerabilities Security Hotspots覆盖率 Coverage Unit Tests代码重复 Duplications代码规模 Lines of Code Comments rate复杂度 Cyclomatic Complexity Cognitive Complexity。
SonarQube代码审查
Aizen_Sousuke的博客
08-06 337
Linux安装SonarQube 7.9之后不在支持mysql 安装mysql数据库,创建sonar数据库 解压sonarqube-9.0.0.45539.zip 安装unzip yum install unzip 解压 unzip sonarqube-9.0.0.45539.zip 重命名 mv /sonarqube-9.0.0.45539 /sonar 修改权限(sonar以root启动会报错) 创建sonar用户 useradd sonar 更改sonar目录及文件权限
sonar自定义规则
weixin_34114823的博客
03-11 1748
Sonar并不是简单地把不同的代码检查工具结果(例如 FindBugs,PMD 等)直接显示在 Web 页面上,而是通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便地对不同规模和种类的工程进行代码质量管理。 sonarqubue默认的对java的检测规则不一定适合我们,可以自己去自定义rules。 禁...
Docker学习11-sonarqube+jenkins持续集成代码审计(上)
有话好好说vx:GoGsxl
10-01 598
前言 1.SonarQube简介SonarQube是一种自动代码审查工具,用于检测代码中的错误,漏洞和代码味道。它可以与您现有的工作流程集成,以实现跨项目分支和提取请求的连续代码检查,开源平台,用于管理源代码的质量。同时 SonarQube 还对大量的持续集成工具提供了接口支持,可以很方便地在持续集成中使用 SonarQube。此外, SonarQube 的插件还可以对......
SonarQube代码审计平台搭建
Tison的博客
04-14 1380
1 概述 SonarQube是一个开源平台,用于管理源代码得质量。SonarQube不只是一个质量数据报告工具,更是代码质量管理平台。 支持java, C#, C/C++, PL/SQL, Cobol, JavaScrip, Groovy 等等二十几种编程语言的代码质量管理与检测。 SonarQube可以从以下七个维度检测代码质量,而作为开发人员至少需要处理前5种代码质量问题。 (1) 不遵循代...
Windows配置SonarQube代码审查工具详细步骤(附带IDEA SonarLint插件使用)
爱吃鸡腿的明仔
09-03 5863
本篇博客主要环境讲述Windows环境下配置SonarQube代码审查工具的项目步骤(附带Idea SonarLint插件的使用),搭建环境为SonarQube 9.8 + JDK 11 + PostgreSql 14.2
Sonar代码质量管理平台详解与安装
Sonar的使用涵盖了项目的整个生命周期,从开发初期的代码规范检查,到开发过程中的持续质量监控,再到发布前的质量评估,都能提供有价值的反馈和改进建议。通过定期运行Sonar分析,团队可以持续跟踪代码质量,及时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值