Docker学习11-sonarqube+jenkins持续集成代码审计(上)

已于 2022-08-31 23:00:40 修改
阅读量565 收藏
点赞数
分类专栏: docker 文章标签: java linux python mysql 大数据
于 2020-10-01 13:05:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42675140/article/details/108899402
版权

前言

1.SonarQube简介
       SonarQube是一种自动代码审查工具,用于检测代码中的错误,漏洞和代码味道。它可以与您现有的工作流程集成,以实现跨项目分支和提取请求的连续代码检查,开源平台,用于管理源代码的质量。同时  SonarQube 还对大量的持续集成工具提供了接口支持,可以很方便地在持续集成中使用  SonarQube。此外, SonarQube 的插件还可以对 Java 以外的其他编程语言提供支持,对国际化以及报告文档化也有良好的支持。
2.SonarQube的使用范围   
        通过插件形式,可以支持包括java,C#,C/C++,PL/SQL,Cobol,JavaScrip,Groovy等等二十几种编程语言的代码质量管理与检测,针对不同的编程语言其所提供的分析方式也有所不同: 对于所有支持的编程语言,SonarQube 都提供源了代码的静态分析功能; 对于某些特定的编程语言,SonarQube 提供了对编译后代码的静态分析功能。
3.SonarQube工作原理
        SonarQube 并不是简单地将各种质量检测工具的结果(例如 FindBugs,PMD 等)直接展现给客户,而是通过不同的插件算法来对这些结果进行再加工,最终以量化的方式来衡量代码质量,从而方便地对不同规模和种类的工程进行相应的代码质量管理。 SonarQube 在进行代码质量管理时,会从图 1 所示的七个纬度来分析项目的质量。

必备环境:

1、docker

  • docker-compose
  • sonarqube

2、jenkins

3、git源码地址

一、docker环境安装

1、docker 安装

linux下直接使用yum安装,或者其它安装方法:

yum  -y install  docker-ce

2、docker-compose 安装

第一种:pip 安装

1、首先检查 pip 环境:pip -V

[root@iZbp19lugf22zbsubsf1y6Z ~]# pip -V
pip 19.1.1 from /usr/lib/python2.7/site-packages/pip (python 2.7)

2、如未显示 pip 版本号,自己解决。接下来输入:pip install docker-compose

[root@iZbp19lugf22zbsubsf1y6Z easymock]# pip install docker-compose
Looking in indexes: http://mirrors.cloud.aliyuncs.com/pypi/simple/
Requirement already satisfied: docker-compose in /root/python36/lib/python3.6/site-packages (1.25.1)
Requirement already satisfied: cached-property<2,>=1.2.0 in /root/python36/lib/python3.6/site-packages (from docker-compose) (1.5.1)
Requirement already satisfied: docopt<1,>=0.6.1 in /root/python36/lib/python3.6/site-packages (from docker-compose) (0.6.2)
Collecting requests<3,>=2.20.0
  Downloading http://mirrors.cloud.aliyuncs.com/pypi/packages/51/bd/23c926cd341ea6b7dd0b2a00aba99ae0f828be89d72b2190f27c11d4b7fb/requests-2.22.0-py2.py3-none-any.whl (57kB)
     |????????????????????????????????| 61kB 23.4MB/s ...

3、验证版本输入:docker-compose version

[root@iZbp19lugf22zbsubsf1y6Z easymock]# docker-compose version
docker-compose version 1.25.1, build a82fef0
docker-py version: 4.1.0
CPython version: 3.6.8
OpenSSL version: OpenSSL 1.0.2k-fips  26 Jan 2017

如提示没有找到此命令,则需要添加软连接:(注:是你自己的安装路径,别复制我的 )

ls -n /root/python3/bin/docker-compose /usr/bin/

第二种:下载安装 docker-compose

1、运行命令,下载 Docker Compose:

curl -L "https://github.com/docker/compose/releases/download/1.24.1/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

2、加权限:

chmod +x /usr/local/bin/docker-compose

3、添加软连接:

ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose

4、验证版本输入:docker-compose version

[root@iZbp19lugf22zbsubsf1y6Z easymock]# docker-compose version
docker-compose version 1.25.1, build a82fef0
docker-py version: 4.1.0
CPython version: 3.6.8
OpenSSL version: OpenSSL 1.0.2k-fips  26 Jan 2017

3、sonarqube 安装

1、系统配置,避免启动问题

# 系统配置,避免启动问题
echo "vm.max_map_count=262144" >> /etc/sysctl.conf

查看命令:sysctl -p

2、创建挂载目录

# 创建目录
mkdir -p ~/sonarqube && cd ~/sonarqube

# 创建所有的sonarqube映射文件
mkdir -p ~/sonarqube/postgres && \
mkdir -p ~/sonarqube/data && \
mkdir -p ~/sonarqube/extensions && \
mkdir -p ~/sonarqube/logs && \
mkdir -p ~/sonarqube/conf

# 创建数据库挂载
mkdir -p ~/sonarqube/postgresql &&\
mkdir -p ~/sonarqube/datasql

# 目录设置为 777 权限,避免权限问题
chmod 777 ./*

3、创建 docker-compose.yml 文件

 在sonarqube目录下,将以下内如复制到yml文件:vi docker-compose.yml

version: '3'
services: 
  postgres:    
    image: postgres
    restart: always
    container_name: sonarqube_postgres
    ports:
      - 5432:5432
    volumes:
      - ~/sonarqube/postgresql/:/var/lib/postgresql
      - ~/sonarqube/datasql/:/var/lib/postgresql/data
    environment:
      TZ: Asia/Shanghai    
      POSTGRES_USER: sonar   
      POSTGRES_PASSWORD: sonar
      POSTGRES_DB: sonar
    networks: 
      - sonar-network
  sonar:
    image: sonarqube
    restart: always 
    container_name: sonarqube
    depends_on:
      - postgres
    volumes:
      - ~/sonarqube/extensions:/opt/sonarqube/extensions
      - ~/sonarqube/logs:/opt/sonarqube/logs
      - ~/sonarqube/data:/opt/sonarqube/data
      - ~/sonarqube/conf:/opt/sonarqube/conf
    ports:
      - 9000:9000
    environment:
      SONARQUBE_JDBC_USERNAME: sonar
      SONARQUBE_JDBC_PASSWORD: sonar
      SONARQUBE_JDBC_URL: jdbc:postgresql://postgres:5432/sonar
    networks: 
      - sonar-network
networks:
  sonar-network:
    driver: bridge

4、docker-compose 用法

①启动:docker-compose up -d

②停止:docker-compose down

[root@JenkinsGod sonarqube]# docker-compose up -d
Removing network sonarqube_sonar-network
Creating network "sonarqube_sonar-network" with driver "bridge"
Creating sonarqube_postgres ... done
Creating sonarqube          ... done

5、浏览器访问:ip+端口,如:192.168.11.111:9000

管理员账号密码都是:admin

6、sonarqube插件安装

方法一(不推荐,好慢):在sonarqube web 上的 Marketplace 安装。

 方法二:下载jar包,丢到插件目录下

这里有支持一部分语言,我们还可以汉化sonarqube,插件我直接分享在:

链接:https://pan.baidu.com/s/1wIMNDYE6JHxiKFeCycCkdQ 
提取码:gsxl 
复制这段内容后打开百度网盘手机App,操作更方便哦

官方jar包下载地址:Java | SonarQube Docs

希望能有你所需要的。

 7、ftp将jar上传至服务器

上传至该目录:/extensions/downloads

如我的:

 8、重启:

①停止:docker-compose down

②重启:docker-compose up -d

[root@JenkinsGod sonarqube]# docker-compose down
Stopping sonarqube          ... done
Stopping sonarqube_postgres ... done
Removing sonarqube          ... done
Removing sonarqube_postgres ... done
Removing network sonarqube_sonar-network
[root@JenkinsGod sonarqube]# docker-compose up -d

Creating network "sonarqube_sonar-network" with driver "bridge"
Creating sonarqube_postgres ... done
Creating sonarqube          ... done
[root@JenkinsGod sonarqube]# 
[root@JenkinsGod sonarqube]#

二、jenkins 安装与插件安装

1、jenkins 安装

详细可以参考,Docker学习6-快速安装jenkins及禅道系统 - 广深-小龙 - 博客园

2、SonarQube Scanner 插件安装

路径:/pluginManager/

安装后重启jenkins

欢迎来大家QQ交流群一起学习:482713805

姚二龙
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
windows版本sonarqube-8.0.rar
11-22
3. **代码覆盖率**:集成代码覆盖率工具,如JaCoCo或Cobertura,提供代码测试覆盖率报告,帮助评估测试的质量。 4. **持续集成**:可与Jenkins、GitLab CI/CD、Azure DevOps等主流CI/CD工具集成,实现在每次构建时...
jenkins-pipeline-examples
03-04
9. **持续集成与持续部署(CI/CD)**:通过 Pipeline,Jenkins 可以实现从代码提交到构建、测试,再到部署的完整自动化流程,推动 CI/CD 实践。 10. **插件集成**:Jenkins 有一个庞大的插件生态系统,允许 ...
测试左移——代码审计SonarQube 平台搭建
python全栈
08-31 414
可靠性 bugs可维护性 code smells安全性 Vulnerabilities Security Hotspots覆盖率 Coverage Unit Tests代码重复 Duplications代码规模 Lines of Code Comments rate复杂度 Cyclomatic Complexity Cognitive Complexity。
Gitlab+Jenkins+SonarQube 实现代码审计指南
Websec
11-11 943
原文:https://bloodzer0.github.io/ossa/other-security-branch/devsecops/gjs/#_3 Gitlab+Jenkins+SonarQube 实现代码审计指南 环境说明 虚拟系统:Centos7 本机系统:Mac Gitlab:社区版11.10.0 Gitlab-Runner:11.10.0 SonarQube:社区版7.7 SonarScanner:3.3.0 Jenkins:2.174 虚拟机配置Gitlab # 解决依赖 yum
Jenkins(超详细的Docker安装Jenkins教程!!!)
最新发布
weixin_51971817的博客
05-03 5696
Jenkins(超详细的Docker安装Jenkins教程!!!)
jenkins审计发布-jenkinsfile审计(pipeline的input步骤)
tiny_du的博客
08-18 2670
一、系统环境: 操作系统:centos7.8 jenkins版本:2.289.3 二、input简介 执行input步骤的时候会暂停pipeline的构建进程,直到用户输入参数。这是一种特殊的参数化pipeline的方法。 我们也可以利用input步骤实现以下两种场景: 1、实现简易的审批流程。例如,pipeline暂停在部署前的阶段,由负责人点击确认后,才能部署。 2、实现手动测试阶段。在pipeline中增加一个手动测试阶段,该阶段中只有一个input步骤,当手动测试通过后,测试人员才可以
通过 Docker 容器配置 Jenkins 集成 SonarQube
time_future的博客
10-10 1114
通过 Docker 容器配置 Jenkins 集成 SonarQube
docker学习总结5 - 部署 sonarqubejenkins持续集成
因热爱而坚持,因坚持而愈发热爱。
10-29 711
sonarqube + jenkins持续集成工作
pr-cticaJenkins:进行计算机工程硕士一年级安全、审计和质量实践的存储库
06-02
7. **代码审计**:集成静态代码分析工具,如 SonarQube,进行代码质量检查。 8. **触发器**:设置 Jenkins 作业的触发条件,如代码提交、定时任务等。 9. **工作流**:理解 Jenkins 工作流的概念,如何定义多阶段...
ops11:51reboot devops11项目
04-18
4. **持续集成工具**:例如Jenkins,一个开源的持续集成工具,支持用Groovy(一种与Java紧密关联的语言,但在JVM上运行)或JavaScript编写插件,实现构建、测试和部署的自动化。 5. **日志分析和监控**:JavaScript...
HCIP-Cloud Service DevOps Engineer教材V2.0.zip
04-02
持续的安全审计确保符合法规要求,如OWASP Top Ten,通过Docker安全扫描和使用如SonarQube的静态代码分析工具来检测潜在的安全漏洞。 6. **持续部署与发布**:持续部署(CD)是自动将验证过的代码部署到生产环境的...
GitLab+Jenkins+SonarQube 敏捷开发持续集成环境
07-27
敬上《敏捷宣言》 、个体和互动高于流程和工具 、工作的软件高于详尽的文档 、客户合作高于合同谈判 、响应变化高于遵循计划 这篇文章是前期工作中用到的技术的总结 绝对的精华 传统的开发模式在西方已经销声匿迹 然而在我们的“环境”中还是一直存在着 but 高瞻远瞩的人已经行动起来 敏捷宣言的出现 拯救了一大批你我一样的程序“猿”
Sonarqube+jenkins持续集成
07-11
整合Sonarqube+jenkins 搭建开源持续集成环境。Sonarqube一款很实用的代码检查工具,包括findbugs、chechstyle、编码规范等等。还可以集合eclipse进行代码检查
【K8S专题】七、使用 Docker 安装配置 Jenkins+Sonar(代码质量检查)
全栈程序猿的专栏
04-23 993
实际项目应用开发过程中,单独为 SpringCloud 工程部署一台运维服务器,不要安装在 Kubernetes 服务器上,同样按照上面的步骤安装 dockerdocker-compose,然后使用 docker-compose 构建 Jenkins 和 Sonar。
docker-compose安装SonarQube
SpringLei
02-16 1742
前言SonarQube 是一个开源的代码分析平台, 用来持续分析和评测项目源代码的质量。通过SonarQube我们可以检测出项目中重复代码, 潜在bug, 代码规范,安全性漏洞等问题, 并通过SonarQube web UI展示出来。
Jenkins (五) - Docker SonarQube
endswell的专栏
04-06 797
Jenkins 集成 SonarQube,编译项目并通过SonarQube分析项目。
如何使用SonarQube构建代码质量审查机制
a879691172a的博客
08-03 1648
试想一下,团队每个人的代码风格千奇百怪,代码质量参差不齐,作为团队的管理者是不是会很头疼?如果有一个代码审查机制,让所有人遵循共同的规范,并且能起到监管的作用,这个审查标准还可以不断扩展优化,岂不爽哉?...
代码审计[Sonar规则开发]
0x00的博客
04-16 2237
一.背景和目的   随着新时代、新业务、新技术的快速发展,应用软件安全缺陷层出不穷。虽然一般情况下,开发者基本都会有单元测试、每日构建、功能测试等环节来保证应用的可用性; 但在代码质量、可维护性、安全等方面,缺乏意识,最终导致安全缺陷,代码逻辑混乱,不可维护等问题的出现。 目的:在开发中提高安全,减少安全隐患,减少人力【如何高效开发,并提高代码安全和质量,保持持续交付 】 策略:1.使用开...
Sonar:Win10搭建SonarQube9.8服务
smm的博客
03-06 1555
详细记录了在Win10环境下搭建SonarQube9.8服务的全过程,结论:多去官网看看
CentOS使用Docker搭建GitLab+Jenkins持续集成环境
"在CentOS操作系统中,使用Docker搭建GitLab和Jenkins持续集成环境,涉及到的主要步骤包括调整虚拟机网络配置、安装Docker、安装GitLab以及配置相关服务。" 在CentOS系统中,为了实现使用Docker部署GitLab和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

姚二龙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值