sonarqube for jenkins token_DevOPS | 代码静态扫描工具SonarQube的安装和初步使用

最新推荐文章于 2022-07-17 21:05:42 发布
最新推荐文章于 2022-07-17 21:05:42 发布
阅读量142 收藏
点赞数
文章标签: sonarqube for jenkins token

DevOPS工具链中,在代码静态扫描这一环,SonarQube的使用算的是比较多的了,功能也比较强大。这篇文章,我们先介绍下基于docker的最新版7.9.1的安装、配置和使用。注意,从7.9版本开始,SonarQube只支持Oracle、SQLServer和PostgreSQL,MySQL不在支持,所以如果大家已经安装了旧版本,需要迁移数据库,迁移的方法,大家可以参见:https://github.com/SonarSource/mysql-migrator。另外PostgreSQL的安装和使用,不在本文的介绍范围,后续咋说,或者大家先自行学习。

基于Docker的安装

  • 使用如下命令拉下最新的docker镜像
docker pull sonarqube:latest
  • 因为我最终会把配置、扩展等存储到宿主机做持续话,所以先在宿主机上创建对应的文件路径
mkdir /sonarmkdir /sonar/datamkdir /sonar/confmkdir /sonar/extensionsmkdir /sonar/logschown -R 999:999 /sonar

注意最后的更改权限必须做,不然会报权限错误

  • 接下来使用如下的脚本创建sonarqube的容器:
docker run -d --name sonarqube -p 9000:9000 -v /sonar/conf:/opt/sonarqube/conf -v /sonar/data:/opt/sonarqube/data -v /sonar/logs:/opt/sonarqube/logs -v /sonar/extensions:/opt/sonarqube/extensions -e sonar.jdbc.username=postgres -e sonar.jdbc.password= -e sonar.jdbc.url="jdbc:postgresql://192.168.10.49/sonar_demo" --restart=on-failure:3 sonarqube

简单说下:sonarqube的默认端口为9000,映射到宿主机的端口也是9000;然后使用-v把刚才创建的文件路径挂载到容器的对应路径;最后的-e传入PostgreSQL的地址、用户名、密码和数据库等信息

  • 如无错误,容器将启动成功,使用docker ps进行查看:
07987ea4-0082-4e77-8da8-7d93a7792898

有错误的话,大家docker logs 查看下什么错误,自行解决下,或者后台发给我,我们一起看看。

整个安装过程还是很简单啊。完成之后,可以访问http://ip:9000,使用默认的管理员账号admin/admin进行登录:

125e3d37-437f-4d74-a625-4a8a0983b4a7

与OpenLdap集成

上篇文章我们介绍了测试运维 | OpenLdap的安装和使用,今天我们先做和SonarQube的集成:

  • 首先我们使用admin账号登录后,在后台的Administration - Security - Groups可以看到如下的Group:
bfd5d900-c243-4826-ad54-bb57dbcb8dc7

望文生义,sonar-administrators就是sonar的管理员组;sonar-users就是一般权限的组。进一步查看组成员,我们发现admin账号的确在sonar-administrators组下:

564a0d2f-63b9-4320-9994-d5389844a56e

从而印证了我们的猜测。

  • 使用ApacheDirectoryStudio连接OpenLdap服务器之后,在ou=Groups下建立两个新组,ou=sonar-administrators,ou=sonar-users
  • 在ou=People下建立一个新用户cn=superadmin,然后加入到ou=sonar-administrators下面;建立一个新用户cn=normaluser,然后加入到ou=sonar-users下面
  • 在SonarQube里面,Administration - Marketplace,搜索并安装LDAP插件:
27f923bc-8936-4fb1-8203-f41ae297c133
  • 在/sonar/conf/sonar.properties文件里(如果没有则创建),加入如下内容:
  • 同时,插件完成安装之后,重启SonarQube
  • 重启完成之后,我们用superadmin账号登录,发现是管理员权限;用normaluser账号登录,发现是普通用户权限。

至此,SonarQube的安装和与OpenLdap的集成配置工作已经完成。

代码扫描

  • 与jenkins的集成,大家可以参考DevOPS | 基于sonarqube、jenkins和gitlab的持续集成代码检查
  • 与Maven项目的集成,修改maven的conf/settings.xml,注意按照如下的节点位置,添加内容:
org.sonarsource.scanner.mavensonartruehttp://192.168.10.49:9000
  • 运行如下命令进行扫描:
mvn clean verify sonar:sonar

如果得到如下错误:

No quality profiles have been found, you probably don't h

ave any language plugin installed.

那么先在SonarQube的Marketplace里面装下SonarJava插件:

04c0af04-646f-4a06-bba3-a4c78fd4e655
  • 扫描完成之后登陆SonarQube即可看到扫描的结果:
fee45fb1-4673-488d-a653-43edcccf4094
  • 针对其他项目类型,比如Gradle、ANT等的支持,大家可以自行参考官方文档:https://docs.sonarqube.org/latest/analysis/scan/sonarscanner-for-gradle/

总结

文章介绍了基于Docker的SonarQube的安装方法及与OpenLdap的集成步骤,并介绍了Maven项目的扫描方法,给大家在DevOPS中开展代码的静态扫描开了个头,大家最好实际动手用起来。后续将进一步介绍SonarQube的配置和深入使用。

weixin_39804641
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SonarQube代码质量管理
05-17
Sonar是一个用于代码质量管理的开源平台,用于管理Java源代码的质量。通过插件机制,Sonar 可以集成不同的测试工具代码分析工具,以及持续集成工具,比如pmd-cpd、checkstyle、findbugs、Jenkins。通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便地对不同规模和种类的工程进行代码质量管理。同时 Sonar 还对大量的持续集成工具提供了接口支持,可以很方便地在持续集成中使用 Sonar。 此外,Sonar 的插件还可以对 Java 以外的其他编程语言提供支持,对国际化以及报告文档化也有良好的支持。 课程主要分为四个方面对Jira进行了讲解和剖析: 1.  Sonarqube的介绍和安装 2.  Sonarqube案例分析和外部服务的集成 3.  Sonarqube分析项目使用的各参数详解 4.  Sonaruqbe的管理 注意:本课程主要是作为DevOps落地方案的一个技术之一,主要用于Devops工程师、开发人员、测试人员。其它人员购买前建议先看目录是否符合自己需求。
SonarQube 8.0的初始化操作
知行合一 止于至善
11-23 8378
相较于之前的版本,SonarQube 8.0缺省的quality profile需要使用者自行安装,否则会提示出错,本文以一个新创建的SonarQube 8.0为例,对于quality profile的初始化操作进行说明。
SonarQubejenkins(SonarQube Scanner)集成
u012689060的专栏
10-10 6890
sonarQube安装 jdk 下载 解压后目录 drwxr-xr-x 8 sonar root  130 8月   6 10:29 bin drwxr-xr-x 2 sonar root   48 10月  9 17:09 conf                       sonar.properties -rw-r--r-- 1 sonar root 7651 8月   6 10:...
使用SonarTS创建进行typescript代码质量扫描
知行合一 止于至善
10-21 6098
SonarQube中提供SonarTS插件对前端的typescript代码进行质量扫描。这篇文章以SonarQube LTS 6.7为例整理进行一下typescript代码检查常见的问题与对应方法。
Docker、Jenkins 结合 SonarQube 和 Sonar scanner 进行代码质量扫描
养歌的博客
07-01 2567
SonarQube是一个用于管理代码质量的开放平台,可以快速的定位代码中潜在的或者明显的错误。目前支持java,C#,C/C++,Python,PL/SQL,Cobol,JavaScrip,Groovy等二十几种编程语言的代码质量管理与检 测。官网地址:https://www.sonarqube.org/ 如果要使用 sonarQube 需要注意两点:安装地址:https://blog.csdn.net/wuhuayangs/article/details/125426751?spm=1001.2014.
持续集成与持续部署-SonarQube使用教程
11-19
此外,SonarQube能够无缝集成到持续集成/持续部署(CI/CD)流程中,例如Jenkins和Azure DevOps。当开发者提交代码时,SonarQube会自动运行分析,即时反馈质量检查的结果,这有助于快速修复问题,提升软件的稳定性和...
jenkins-rest-api预研.docx
02-16
Jenkins 是一款广泛应用的持续集成(CI)工具,支持自动化软件构建、测试和部署过程。在DevOps实践中,Jenkins因其强大的插件生态系统和可扩展性而受到青睐。本篇文章将探讨如何通过Jenkins的REST API进行二次开发,...
token cicd 自动化实例 yaml
01-26
在CICD场景下,YAML被用来定义自动化流程,如Jenkins、GitLab CI/CD、Azure DevOps工具的配置文件。YAML文件清晰地列出每一步操作,包括构建、测试、部署等阶段,使得整个流程易于理解和维护。 例如,以下是一个...
jenkins集成教程
11-12
Jenkins 是一款开源的持续集成工具,用于自动化各种任务,包括构建、测试和部署软件。在本教程中,我们将探讨 Jenkins安装步骤,以及如何结合 Git 和 Maven 实现项目的自动化构建与部署。 **一、Jenkins 安装** ...
GitHub与Jenkins的协同之舞:定制CI流程
最新发布
07-24
2. **安装和配置Jenkins服务器**: - 下载并安装Jenkins。 - 安装必要的插件,比如GitHub Plugin,这使得Jenkins能够与GitHub进行无缝对接。 3. **配置Jenkins与GitHub的集成**: - 登录Jenkins,进入系统配置...
使用docker 搭建sonarqube平台
weixin_43726471的博客
04-19 776
前提条件:已经安装了docker的环境 step1:执行如下命令: docker pull postgres docker pull sonarqube step2:执行如下命令: 打tag,再push到仓库中: [root@test03]# docker tag sonarqube:latest harbor.ctrl.qq.com/library/sonarqube:latest [root@test03]# docker push harbor.ctrl.qq.com/library/sona
小白学习docker搭建sonarqube
qq_42743858的博客
06-23 548
一丶背景 个人学习docker集成sonarqube的搭建 一丶背景** docker-scanner下载地址: sonqube-scanner的安装及其使用 1.上传,解压 2.配置环境变量 #JAVA export JAVA_HOME=/usr/local/jdk export CLASSPATH=.:$JAVA_HOME/jre/lib/rt.jar:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar export PATH=$PATH:$JAVA_HOME
Gitlab与sonarqube整合-代码提交自动检测
ioops
03-06 7018
文章目录概述准备工作postgressonarqubegitlabgitlab-runnerSonarqube gitlab integration使用gitlab进行认证配置gitlab OAuth配置sonarqube ALM Integrations创建sonarqube project语言包和语言分析规则创建分析项目Gitlab-ci可能出现的问题gitlab-ci任务运行详情中出现错误s...
持续集成实践二之Jenkins与Sonar Qube集成
weixin_33831196的博客
11-23 178
2019独角兽企业重金招聘Python工程师标准>>> ...
docker之SonarQube安装
邓邓子的博客
08-10 2946
1、在在docker hub 中搜索sonarqube,搜索链接:https://hub.docker.com/ 2、拉取镜像:docker pull sonarqube:8.9.2-community 注意:使用docker pull sonarqube拉取最新版启动时会报错: could not find java in ES_JAVA_HOME at /opt/java/openjdk/bin/java 3、运行命令: docker run --name sonarqube -p 9100:900
DevOps】实现统一账号登录,sonarqube集成ldap
CN_Eden
07-17 1012
2)自己下载LDAPPlugin插件,将下载的插件,放到SONARQUBE_HOME/extensions/plugins目录下,重启sonarqube即可加载;下载地址仓库服务-->搜索sonar-ldap-plugin,找到2.2.0.608版本下载。1)在sonar管理控台,配置–应用市场–插件–搜索LDAP,直接点安装按钮,进行在线安装;插件存放路径/opt/sonarqube/extensions/plugins。下载插件前,要先确定所使用的sonar版本对插件的支持情况。.........
【blackduck】synopsys-detect maven工程安全扫描命令行参数配置
baidu_31295661的博客
01-06 2642
主要配置参数如下: blackduck.url=xxx detect.project.name=MyProject blackduck.api.token=xxx detect.test.connection=true blackduck.trust.cert=true detect.bash.path=/usr/bin/bash detect.bdio.output.path=output detect.output.path=output detect.java.path=/usr/bin/java
sourcemap文件泄露漏洞
热门推荐
u011975363的专栏
07-09 1万+
sourcemap信息泄露
十几个NPM恶意包劫持 Discord 服务器
smellycat000的专栏
12-09 241
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士研究人员发现,NPM包Registry 上出现了至少17个恶意包。此前攻击者通过开源软件仓库如 PyPi 和 RubyGems 等托管和...
使用gitlab+harbor+sonarqube+jenkins+maven实践DevOps自动化流程
"本文将介绍如何使用gitlab、harbor、sonarqubejenkins和maven构建一套完整的DevOps解决方案,实现自动化开发、测试和部署流程。" 在DevOps实践中,目标是打破传统的开发、测试和运维之间的壁垒,通过自动化工具...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值