2024新版SonarQube+JenKins+Github联动代码扫描(3)-三者联动配置最终章

已于 2024-03-05 15:14:53 修改
阅读量1k 收藏 18
点赞数 16
分类专栏: 渗透测试工具 文章标签: web安全 网络安全 安全 SonarQube 静态代码扫描
于 2024-03-05 15:12:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43847838/article/details/136478819
版权

文章目录

前言

终于来到最后了。前面的两篇文章都是配置项,务必能成功启动和运行,才可以进行第三步的联动配置。
SonarQube+JenKins+Github三者之间的自动化构建和代码扫描,听起来确实是非常高效率的,但是网上文章都是老版本,很多都是2018左右的版本,照着他们的步骤来,在2024年的今天,新版是完全不一样了,所以我当初配置的时候,也是花了2天的时间,最后总结成3篇文章,供大家参考。

2024新版SonarQube+JenKins+Github联动代码扫描(1)-JenKins安装与配置

2024新版SonarQube+JenKins+Github联动代码扫描(2)-SonarQube代码扫描

2024新版SonarQube+JenKins+Github联动代码扫描(3)-三者联动配置最终章

提示:以下是本篇文章正文内容,由于三者的联动配置有点过于复杂,有点不太方便,本文也是我一边摸索一边记录的情况下总结的配置文章,可能会存在无用或者多余的配置项,下面案例可供参考

一、Sonar方面

sonar生成一个用户token:

在这里插入图片描述

这个sonar的token一定要备份好,因为只显示一次。

二、Jenkins方面

2.0、简单配置

下载SonarQube插件:Manage Jenkins > Manage Plugins and install the SonarQube Scanner plugin.

在这里插入图片描述

生成全局凭据(担心你们找不到,所以我把路径贴出来了):
http://jenkins的ip:6543端口/manage/credentials/store/system/domain/_/
在这里插入图片描述

点击添加,Kind: Secret Text,Scope: Global,secret选择为sonarqube的用户token。

在这里插入图片描述

返回dashboard控制台,系统设置-系统配置:
在 SonarQube 服务器部分,单击添加 SonarQube。添加以下信息:
名称:为你的 SonarQube 实例命名。
服务器 URL:你的 SonarQube 实例 URL。
凭证:选择在步骤 4 中创建的凭证。

在这里插入图片描述

点击保存。

2.1、下载SonarScanner CLI

注意,要在Jenkins的服务器上面下载。CLI的官方下载地址为:
https://docs.sonarsource.com/sonarqube/latest/analyzing-source-code/scanners/sonarscanner/

下载命令(后面的下载url是我自己的url,可能会存在token已经过期下载不了的情况。你们换成自己的CLI url,反正命令是用wget):

wget -O demo.zip https://binaries.sonarsource.com/Distribution/sonar-scanner-cli/sonar-scanner-cli-5.0.1.3006-linux.zip?_gl=1*uzjpdr*_gcl_au*ODQ2ODg3NzcyLjE3MDg5NDExNzc.*_ga*NTY0Njg5MjAwLjE3MDg5NDExNzc.*_ga_9JZ0GZ5TC6*MTcwOTAyNjE1My40LjEuMTcwOTAzMjQyMi41OS4wLjA.

并解压到相应位置,美其名曰 ${SonarqubeScanner}
pwd一下,做个地址备份:
/root/sonarScanner_CLI/sonar-scanner-5.0.1.3006-linux

2.2、修改SonarScanner CLI配置

vi ${SonarqubeScanner}/conf/sonar-scanner.properties

#----- Default SonarQube server
sonar.host.url=http://localhost:9000

#----- Default source code encoding
sonar.sourceEncoding=UTF-8

在这里插入图片描述

2.3、Jenkins配置SonarQube Scanner

在这里插入图片描述

2.4、Github用户token获取

获取github的用户token:
头像-设置-点击Developer settings下的Personal access tokens:
在这里插入图片描述

Github token记得备注,因为也是只显示一次。

Jenkins再次添加全局凭据:
在这里插入图片描述

2.5、新建一个项目

在这里插入图片描述

在这里插入图片描述

build strps设置:

sonar.projectKey=ksjdfksdjf
sonar.projectName=java_sec
sonar.projectVersion=1.0
sonar.language=java
sonar.sourceEncoding=UTF-8
sonar.sources=$WORKSPACE
sonar.java.binaries=$WORKSPACE

sonar.projectKey代表的是项目标识,会在sonar的项目标识中显示。这里随便输入也行,目的就是为了方便标记你的项目名称,这个标识最终会出现在Sonar的扫描结果中。

sonar.projectName代表在sonar中自动生成的项目名。

其他默认粘贴即可。

在Jenkins中构建项目完成后,sonar那边就会自动生成扫描结果了,成功:

在这里插入图片描述

总结

JenKins安装与配置是SonarQube+JenKins+Github联动代码扫描专题到这里就正式结束了。完整内容为:

2024新版SonarQube+JenKins+Github联动代码扫描(1)-JenKins安装与配置.

2024新版SonarQube+JenKins+Github联动代码扫描(2)-SonarQube代码扫描.

2024新版SonarQube+JenKins+Github联动代码扫描(3)-三者联动配置最终章.

欢迎大家关注EureKaSec,无论是技术交流还是有兴趣加入我们团队,都欢迎随时联络沟通。
在这里插入图片描述

    文章原创,欢迎转载,请注明文章出处: 2024新版SonarQube+JenKins+Github联动代码扫描(3)-三者联动配置最终章.。百度和各类采集站皆不可信,搜索请谨慎鉴别。技术类文章一般都有时效性,本人习惯不定期对自己的博文进行修正和更新,因此请访问出处以查看本文的最新版本。

归去来兮-zangcc
关注
专栏目录
SonarScanner扫描本地项目代码
万物皆可学
06-16 3049
和Windows一样设置环境变量指定你存放sonarscanner的路径,path添加到bin目录,项目根目录创建sonar-project.properties并设置参数,终端跳到目录路径下执行sonar-scanner即可。接着编辑path的变量,新增一条值,%SONAR_SCANNER_HOME%\bin,指定到你的SonarScanner bin目录。sonar.java.binaries=指定编译目录,官方示例没有提及,如果不设置扫描会报错,可以没有编译目录但必须设置次参数。
jenkins-git:git和jenkins之间的链接
03-14
5. **代码审查**:集成代码审查工具,如GitHub的Pull Request,Jenkins可以与之联动,确保代码质量。 总之,Jenkins与Git的集成是实现高效CI/CD流程的关键。通过自动化代码获取、构建、测试和部署,开发者可以专注...
代码审查工具SonarQube详解
知识库总结、分享
06-07 6421
Sonar Qube可以与多种软件整合进行代码扫描,比如Maven,Gradle,Git,Jenkins等,并且会将代码检测结果推送回Sonar Qube并且在系统提供的UI界面上显示出来一个 SonarQube 实例包含三个组件:为什么选择PostgreSQL不支持mysql?系统安装条件:如果您在 Linux 上运行,则必须确保:修改/etc/sysctl.conf 添加vm.max_map_count = 524288 不修改vm.max_map_count报错提示: 默认admin密码admin登录
Jenkins流水线集成Sonarqube
最新发布
weixin_36875467的博客
08-12 80
1 环境准备1.1 安装sonarqube/app/module/sonarqube1.2 安装sonar-scanner/app/module/sonar-scanner1.3 安装SonarQube Scanner插件略1.4 Jenkins配置sonar凭据1.5 Jenkins配置Sonarqube服务地址1.6 ...
CICD详解(十三)——Sonar代码扫描
永远是少年
04-02 5640
今天继续给大家介绍Linux运维相关知识,本文主要内容是Sonar代码扫描。 一、Sonar Scanner安装 二、测试代码下载 三、代码扫描 四、效果检验
sonarqube
lgxzzz的博客
03-05 1317
基于本地服务和mvn命令进行的代码分析,并将分析结果推送到sonar服务器中 sonar用于进行代码的质量分析 进行质量分析的操作步骤如下: 首先进入到sonar的主页SonarQube,查看当前要分析的项目是否存在 如果当前的项目不存在,则可以进行项目的创建,创建的操作步骤如下 选择创建新项目,设置项目的创建标志以及显示信息 点击完设置以后,会有页面创建令牌和配置当前项目的信息。由于以及进行过默认的令牌信息配置,故无需进行创建生成令牌,可以使用令牌10ac31fd0b091a4e9ee93e7351
全网最详细jenkins+sonarqube+SonarQube Scanner+jacoco 部署流程说明
qq_42292373的博客
06-30 8723
目录一:Sonarqube配置1.下载资源2: 修改配置文件3: 授权普通用户4:启动程序5: 汉化 (可选,不推荐)6:进行初始化的设置7:创建项目二:Jenkins配置1: 下载插件2: 全局设置3: 全局工具配置4: 项目配置三:jacoco的配置1: 添加依赖2: jinkens配置jacoco四:使用的方法1:查看覆盖率 一:Sonarqube配置 1.下载资源 1:下载 SonarQube 资源包,这里选择7.6版本 https://www.sonarqube.org/ 2:注意:8
Jenkins Relative Links-crx插件
04-04
此外,这款插件还可以与其他Jenkins插件集成,比如与问题追踪系统(如Jira)、代码版本控制系统(如Git)等进行联动,使得问题排查和修复更为顺畅。尽管这款插件默认支持英文,但由于其强大的功能和易用性,也受到了...
【最新版】CatLightSetup-2.32.2.zip【亲测可用】最好的开发人员行动中心
08-05
总而言之,CatLight通过整合多种CI/CD工具,打造了一个高效的通知中心,使开发人员能够专注于代码编写和问题解决,而无需分心关注后台系统的动态。这款工具的出现,无疑是提高开发效率、优化团队协作的重要利器。...
SonarLint代码质量检查工具
06-15
SonarLint的集成不仅限于SonarQube,它还可以与多种代码仓库(如GitHub、Bitbucket等)和持续集成/持续部署(CI/CD)工具(如Jenkins、TeamCity)无缝协作,确保在整个软件开发生命周期中保持一致的代码质量标准。...
citySelector-master.zip
12-30
- 使用npm scripts或CI/CD工具(如JenkinsGitHub Actions)自动化构建和部署流程。 总的来说,"citySelector-master.zip"项目涵盖了前端开发的多个核心领域,包括组件化、数据管理、用户交互、性能优化等,对于...
【sonar集成jenkins实现静态代码扫描
qq_33687006的博客
09-19 1368
sonarqube集成jenkins实现静态代码扫描
看这里,全网最详细的Sonar代码扫描平台搭建教程
公众号:【伤心的辣条】
08-17 9889
官网:https://www.sonarqube.org/ 1.sonar简介 sonar是一款静态代码质量分析工具,支持Java、Python、PHP、JavaScript、CSS等25种以上的语言,而且能够集成在IDE、Jenkins、Git等服务中,方便随时查看代码质量分析报告。 sonar通过配置代码分析规则,从可靠性、安全性、可维护性、覆盖率、重复率等方面分析项目,风险等级从A~E划分为5个等级; 同时,sonar可以集成pmd、findbugs、checkstyle等插件来扩展使用其他规则来.
SonarQube 9.x与Jenkins进行集成并扫描后端java以及前端vue代码
qq_44930876的博客
12-02 2892
SonarQube 9.x与Jenkins进行集成并扫描后端java以及前端vue代码
Docker、Jenkins 结合 SonarQube 和 Sonar scanner 进行代码质量扫描
养歌的博客
07-01 2658
SonarQube是一个用于管理代码质量的开放平台,可以快速的定位代码中潜在的或者明显的错误。目前支持java,C#,C/C++,Python,PL/SQL,Cobol,JavaScrip,Groovy等二十几种编程语言的代码质量管理与检 测。官网地址:https://www.sonarqube.org/ 如果要使用 sonarQube 需要注意两点:安装地址:https://blog.csdn.net/wuhuayangs/article/details/125426751?spm=1001.2014.
sonar 代码扫描
meijunhui的博客
09-06 6496
到官网下载 sonar-scanner scanner支持maven插件形式, jenkins,此处使用的是基于命令行的,不依赖于其他 官网下载scanner的zip包,解压 进入conf,打开sonar-scanner.properties 文件 此处,host.url是服务器地址,因为sonar扫描的结果会上传到服务器 配置环境变量
SonarQube 创建 Token
秋叶清风的博客
07-07 2128
SonarQube 创建 Token
sonarqube安装以及jenkins集成sonarqube
javascript_good的博客
06-30 3253
docker 方式安装是最简便的,我选择了这个安装方式1、下载镜像2、 创建挂载目录3、运行容器4、通过ip 端口访问:http://ip:9090。
SonarQube Sonar-project配置的常用说明(7)
热门推荐
小冯先生的博客
05-28 1万+
sonar-project配置的常用说明 sonar-project的配置体现为sonar-scanner的sonar-project.properties、jenkins-sonar的Analysis properties。主要用于项目检测配置 这些配置基本可以通过官方文档、sonar平台配置中查看 常用基础配置 sonar.projectKey=gpcore #sonar平台中...
SonarQube+Sonar Scanner+Jenkins:一站式代码质量检查与构建流程详解
本文档详细介绍了如何在IT开发环境中集成SonarQube、SonarScanner以及Jenkins,实现代码质量检查的自动化流程。SonarQube是一个强大的开源代码质量分析平台,支持多种编程语言,其核心功能包括检查编程标准、设计...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

归去来兮-zangcc

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值