sonarqube8.4报告系列-安全热点统计

最新推荐文章于 2023-03-17 16:10:10 发布
最新推荐文章于 2023-03-17 16:10:10 发布
阅读量1k 收藏
点赞数
分类专栏: sonarqube
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sincool1003/article/details/109641217
版权

sonarqube我还没有研究透彻,技术太菜了,还无法深入原理去分析源代码,只是从外面知道sonar-scanner扫描会先经过ES,再传结果给sonarqube界面显示。

我的问题是:我要获取安全热点中高中低等级的所有问题及数据,统计出结果给上面看。

需求分析

  • 数据库中直接查询 issues表中数据的severity与实际问题等级不相符
  • ES结果分析自己对ES处理逻辑知之甚少,现学恐怕是来不及了
  • selenium爬界面数据

做了哪些工作

  • 静默后台形式运行chromeDriver

    public static WebDriver get(String url)  {
        System.setProperty("webdriver.chrome.driver", "drivers/chromedriver.exe");
        ChromeOptions options = new ChromeOptions();
        options.addArguments("--headless");
        options.addArguments("--disable-gpu");
        WebDriver driver=new ChromeDriver(options);
        /*System.setProperty("phantomjs.binary.path","drivers/phantomjs.exe");
        WebDriver driver = new PhantomJSDriver();*/
        try {
            driver.get(url);
            Thread.sleep(3000);
            String title = driver.getTitle();
            if(title!=null) {
                System.out.println("打开页面成功");
            }
        }catch (InterruptedException e){
            e.printStackTrace();
        }
        return driver;
    }
    /*检查元素是否存在
    @author liujuan
    * */
    public static void closedriver(WebDriver driver) {
        driver.quit();
    }
    public static Boolean check(WebElement element,By seletor) {
        try {
            element.findElement(seletor);
            return true;
        } catch (Exception e) {
            // TODO: handle exception
            return false;
        }
    }
  • 拿到想要的数据,入库写表,在sonarqube库中新建专门的report表,这里我是建个report表的实体
    读取report表,按数量排序组装拼HTML格式的Email-Content
    因为要读库,我用的JPA,所以springboot的学院派写法,例如dao、service\seriviceImpl都是按规范写的

实体

@Entity
@Data
public class SecurityReport {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Integer id;
    private String name;
    private String level;
    private String bugtype;
    private String buginfo;
    private Date createtime;
    private String pcxx;
    private String cname;
    private String url;
}

jpa-dao\service\serviceImpl

public interface SecurityReportDao extends JpaRepository<SecurityReport,Integer>{
    List<SecurityReport> findAll();
    SecurityReport saveAndFlush(SecurityReport securityReport);
}
------------------
public interface SecurityReportService {
    List<SecurityReport> findAll();
    SecurityReport saveAndFlush(SecurityReport securityReport);
}
------------------
@Service
public class SecurityReportServiceImpl implements SecurityReportService {
    @Autowired
    SecurityReportDao securityReportDao;
    @Override
    public List<SecurityReport> findAll() {
        return securityReportDao.findAll();
    }

    @Override
    public SecurityReport saveAndFlush(SecurityReport securityReport) {
        return securityReportDao.saveAndFlush(securityReport);
    }
}

入库


    public static List<SecurityReport> getSonarResultByOneToDb1() throws InterruptedException {
        List<SecurityReport> reslutlist=new ArrayList<SecurityReport>();
        /*获取project-key*/
        ApplicationContext context = SpringContextUtil.getApplicationContext();
        ProjectsServices services = context.getBean(ProjectsServices.class);// 注意是Service,不是ServiceImpl
        //SecurityReportService reportservices =context.getBean(SecurityReportService.class);
        List<Projects> keelist=services.findProjects();
        WebDriver driver=null;
        for (Projects pro:keelist){
            driver= get("http://sonar.pc.com.cn/security_hotspots?id="+pro.getKee()+"&sinceLeakPeriod=false");
            System.out.println("projectKey=="+pro.getKee());
            driver.manage().window().maximize();//最大化窗口
            Thread.sleep(3000);
            WebElement hugeele = driver.findElement(By.className("huge-spacer-bottom"));
            List<WebElement> typenumlist = hugeele.findElement(By.tagName("ul")).findElements(By.className("big-spacer-bottom"));//3个等级li
            for (WebElement type : typenumlist) {
                WebElement little = type.findElement(By.cssSelector("[class='hotspot-risk-header little-spacer-left']"));
                WebElement level = little.findElement(By.tagName("div"));
                List<WebElement> hotspotcategorylist = type.findElement(By.tagName("ul")).findElements(By.className("spacer-bottom"));
                for (WebElement hotspotcategory : hotspotcategorylist) {

                    WebElement hotspotcate = hotspotcategory.findElement(By.className("flex-1"));
                    String number = hotspotcategory.findElement(By.className("counter-badge")).getText();
                    System.out.println(pro.getName()+","+level.getText()+","+hotspotcate.getText()+","+number);
                    By ul = new By.ByTagName("ul");
                    boolean flag = check(hotspotcategory, ul);
                    if (flag) {//进入页面后,默认第一个打开
                        List<WebElement> errorinfolist = hotspotcategory.findElements(By.className("little-spacer-left"));
                        for (WebElement error : errorinfolist) {
                            /*System.out.println("==="+error);*/
                            SecurityReport sr=new SecurityReport();
                            Thread.sleep(3);
                            sr.setName(pro.getName());
                            sr.setLevel(level.getText());
                            sr.setBugtype(hotspotcate.getText());
                            sr.setBuginfo(error.getText());
                            sr.setCreatetime(new Date());
                            sr.setPcxx(pro.getKee());
                            sr.setUrl("https://sonar.pc.com.cn/security_hotspots?id="+pro.getKee());
                            /*reslutlist.add(kee+","+level.getText()+","+hotspotcate.getText()+","+error.getText());*/
                            //reportservices.saveAndFlush(sr);
                            reslutlist.add(sr);
                        }
                        hotspotcategory.click();
                    } else {
                        /*System.out.println(hotspotcategory.getText());*/
                        hotspotcategory.click();
                        List<WebElement> errorinfolist = hotspotcategory.findElements(By.className("little-spacer-left"));
                        /*System.out.println(level.getText() + "===" + hotspotcate.getText() + "没有ul,一共有:" + errorinfolist.size() + "个问题!");*/
                        for (WebElement error : errorinfolist) {
                            SecurityReport sr=new SecurityReport();
                            /*System.out.println(error.getText());*/
                            sr.setName(pro.getName());
                            sr.setLevel(level.getText());
                            sr.setBugtype(hotspotcate.getText());
                            sr.setBuginfo(error.getText());
                            sr.setCreatetime(new Date());
                            sr.setPcxx(pro.getKee());
                            sr.setUrl("https://sonar.pc.com.cn/security_hotspots?id="+pro.getKee());
                            reslutlist.add(sr);
                            //reportservices.saveAndFlush(sr);                           /*reslutlist.add(kee+","+level.getText()+","+hotspotcate.getText()+","+error.getText());*/
                        }
                    }
                }
            }
            closedriver(driver);
        }
        return reslutlist;
    }

存入库中的数据

在这里插入图片描述
进库以后,就直接用sql查询出想要的分组数据即可,再整理成想要的报告就简单的多。这些字段都是根据需要在实体中定义的。

  • 总结

说真的,看别人的代码是痛苦的,所以我列这里,主要是想给大家指个路子,当你领导需要报告的时候,你能有个思路,既然能做质量平台,也不是那种点点点的测试人员嘛,多少你凑凑开发技能实现功能还是应该可以的。

普通打工仔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
通过Sonar的代码质量报告学习【如何写安全高质量的代码】
AshenOne余烬
11-17 1万+
1.不要用.size(),改用isEmpty() Using Collection.size() to test for emptiness works, but using Collection.isEmpty() makes the code more readable and can be more performant. The time complexity of any is
SonarQube代码质量检查平台
热门推荐
张维鹏的博客
08-16 1万+
SonarQube 是一个代码质量管理的开源平台,通过 SonarQube 提供的代码扫描、质量阈值卡点等质量红线,我们可以提升系统的可靠性,提前捕获和提示代码中的错误,从而避免未定义的行为影响到用户,保证业务质量,也能确保管理的代码库干净并且可维护,以便提高开发人员的开发效率。另外 SonarQube 也可以生成详细的代码分析质量报告,并通过强大的仪表盘展示出来,使我们能够根据角色的不同,查看不同维度的度量标准。...
SonarQube项目质量指标查看
进击的小白
11-04 1932
官网参考:SonarQube Documentation | SonarQube Docs
持续集成八 sonarQube配置及使用
用针戳左手中指指头的博客
04-19 4371
1.sonarQube 下载插件 Build Breaker 在构建时,sonar上的规则不达标时,就会使构建失败 默认值为false,表示build breaker开启 2.质量阈 3.指标等级ABCDE 官网说明:https://docs.sonarqube.org/latest/user-guide/metric-definitions/ 质量阈 质量阈...
Sonarqube 问题类别和级别调整及禁用
weixin_43873210的博客
03-17 2013
Sonarqube 调整问题类型和级别、禁用和解禁规则
修复Sonar中常见的Java安全代码冲突
最佳 Java 编程
05-11 516
本文旨在向您展示如何快速修复最常见的Java安全代码冲突。 它假定您熟悉代码规则和违规的概念以及Sonar如何对其进行报告。 但是,如果您以前从未听说过这些术语,则可以阅读Sonar Concepts或即将出版的有关Sonar的书 ,以获取更详细的解释。 为了获得一个想法,在Sonar分析期间,您的项目会被许多工具扫描,以确保源代码符合您在质量配置文件中创建的规则。 每当违反规则时…就会引...
CentOS-8.4.2105-x86_64-dvd1.part05.rar
07-21
CentOS 8.4版本(CentOS-8.4.2105-x86_64-dvd1)适用于x86_64,必须集齐10个文件才能一起解压缩使用,10个文件下载地址: CentOS-8.4.2105-x86_64-dvd1.part10.rar ... CentOS-8.4.2105-x86_64-dvd1.part09.rar ...
CentOS-8.4.2105-x86_64-boot.iso
06-17
centos原版镜像
CentOS-8.4.2105-x86_64-dvd1.part01.rar
07-21
CentOS 8.4版本(CentOS-8.4.2105-x86_64-dvd1)适用于x86_64,必须集齐10个文件才能一起解压缩使用,10个文件下载地址: CentOS-8.4.2105-x86_64-dvd1.part10.rar ... CentOS-8.4.2105-x86_64-dvd1.part09.rar ...
CentOS-8.4.2105-x86_64-dvd1.part02.rar
07-21
CentOS 8.4版本(CentOS-8.4.2105-x86_64-dvd1)适用于x86_64,必须集齐10个文件才能一起解压缩使用,10个文件下载地址: CentOS-8.4.2105-x86_64-dvd1.part10.rar ... CentOS-8.4.2105-x86_64-dvd1.part09.rar ...
CentOS-8.4.2105-x86_64-dvd1.part03.rar
07-21
CentOS 8.4版本(CentOS-8.4.2105-x86_64-dvd1)适用于x86_64,必须集齐10个文件才能一起解压缩使用,10个文件下载地址: CentOS-8.4.2105-x86_64-dvd1.part10.rar ... CentOS-8.4.2105-x86_64-dvd1.part09.rar ...
sonar 使用常见问题总结
liuzhen007的专栏
11-13 8730
目录 前言 正文 问题一、ERROR: Not authorized. Please check the properties sonar.login and sonar.password. 问题二、SCM provider autodetection failed. Both svn and git claim to support this project. Please use sonar.scm.provider to define SCM of your project. 问题三、E
百度总监10分钟带你快速入门Sonar
别人的故事,是参考答案,而不是标准答案
01-28 393
1.Sonar的概念: Sonar的全称是SonarQube,是一种自动代码审查工具,用于检测代码中的错误,漏洞和代码异味。它可以与您现有的工作流程集成,以便在项目分支和拉取请求之间进行连续的代码检查。 2.安装Sonar服务器 在使用Sonar扫描代码之前,需要先安装好postgresql数据库和sonarqube服务,我采用docker的安装方式,具体文档参考这里 Sonar支持三种数据库,这里我选择PostgreSQL 安装PostgreSQL 容器启动成功后,用账号:postgres/postgre
SonarQube: CE/DE/EE/DCE概要介绍
知行合一 止于至善
10-23 2680
相较于一般的开源工具,比如Docker/Gitlab等,套路都是CE版和EE版。而在代码质量扫描工具的SonarQube这里,显得就更加精细化了一些,SonarQube分为了CE、DE、EE和DCE版本,版本众多,眼花缭乱,如何进行选择,这篇文章搜集和整理了一些基本的信息。
项目里安全扫描出漏洞的各种解决方案(host攻击 跨站脚本攻击以及sql注入 重放攻击)
qq_42303467的博客
09-24 870
1 不安全的HTTP方法 检测到未禁用 OPTIONS 等 HTTP 方法 解决方式: 1.在web.xml中增加 <security-constraint> <web-resource-collection> <web-resource-name>dmsbSec</web-resource-name> <url-pattern>/*</url-pattern> <http-method>PUT<
SonarQube安全设置
锐意工作室
07-24 4088
文章目录SonarQube安全设置参考文档安全设置强制要求必须登录SonarQube修改默认的项目可见性为private去掉Anyone组的权限去掉Project Creator的权限生成用户Token设置项目账号权限 SonarQube安全设置 参考文档 https://docs.sonarqube.org/latest/instance-administration/security/ 安...
Sonar WebApi 不全,抓API的如何使用
隔壁老瓦的专栏
09-08 527
抓首页的api使用postman。
sonarLint使用
qq_43172064的博客
04-07 6425
简介 sonar是一款代码质量管理工具,sonar有两种使用方式:插件和客户端。 这里先介绍下插件的使用方式。 SonarQube是一种自动代码审查工具,用于检测代码中的错误,漏洞和代码味道。它可以与您现有的工作流程集成,以实现跨项目分支和提取请求的连续代码检查。其目的是对代码库的质量进行360°透视。 为此,它会定期分析项目的所有源代码行。 SonarLint是一个Sonarl IDE插件,可以接收和连接SonrarQube对代码库扫描的结果从而通知Developer, SonarLint本身也可以..
Sonarqube各指标的定义及计算方法
Thinner123的博客
12-20 7661
本文内容介绍了Sonarqube分析项目后各指标的定义和计算方法。 一.可靠性 1.评级计算方法(bug): A:表示代码无bug,最高级别 B:代码有一个次要bug,等级评估为B C:代码有一个重要bug,等级评估为C D:代码有一个严重bug,等级评估为D E:代码有一个阻断bug,等级评估为E,最低级别。 2.bug严重级别: (1)阻断:阻碍开发或测试工作的问题;造成系统崩溃、死机、死循环,导致数据库数据丢失,与数据库连接错误,主要功能丧失,基本模块缺失等问题。如:代码错误
centos-8.4.2105-x86_64 boot与dvd1
最新发布
05-16
CentOS是一个基于Linux的操作系统,它是在Red Hat Enterprise Linux(RHEL)的基础上开发的。CentOS 8.4.2105-x86_64是CentOS 8.4 的一个新版本,x86_64表示它是64位的。 CentOS-8.4.2015-x86_64 boot是一个引导映像文件,它包含了用于启动和安装CentOS操作系统的必要文件。使用boot文件可以创建一个可引导的USB设备或DVD光盘,实现从该设备或光盘启动并安装CentOS操作系统。 CentOS-8.4.2105-x86_64 dvd1是CentOS的第一个安装DVD,它包含了安装中需要的所有软件包。如果要进行完整的安装,需要下载并使用所有的dvd。可以使用dvd1进行安装,也可以使用它进行升级或重新安装某些软件包。 总之,centos-8.4.2105-x86_64 boot是引导映像文件,可用于启动和安装CentOS操作系统。centos-8.4.2105-x86_64 dvd1是CentOS的第一个安装DVD,包含了安装中需要的所有软件包。两者配合使用,可以方便地完成CentOS安装或升级。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值