OpenShift 4 - DevSecOps Workshop (6) - 为Pipeline增加SonarQube实现SAST

已于 2022-03-27 16:49:21 修改
阅读量343 收藏
点赞数
分类专栏: DevOps CICD Tekton 文章标签: ci/cd devops
于 2021-08-16 19:49:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/119738682
版权
DevOps 同时被 3 个专栏收录
89 篇文章 3 订阅
订阅专栏
CICD
27 篇文章 0 订阅
订阅专栏
Tekton
21 篇文章 1 订阅
订阅专栏

OpenShift 4.x HOL教程汇总
说明:本文已经在OpenShift 4.8环境中验证

OpenShift 4 - DevSecOps Workshop 系列视频

此步将向Pipeline添加新的Task,该Task可通过SonarQube实现SAST。
在这里插入图片描述

  1. 可以参照下图向“tasks-dev-pipeline”添加新的“code-analysis”任务,任务类型为“simple-maven”,其中在“GOALS”参数中指定了如何访问在OpenShift上运行的SonarQube运行环境、以及相关的Sonar项目名(注意::参数中的user1是当前登录用户)。
    Display name: code-analysis
    GOALS: verify sonar:sonar -Dsonar.projectName=user1-openshift-tasks -Dsonar.projectKey=user1-openshift-tasks -Dsonar.host.url=http://sonarqube.devsecops.svc.cluster.local:9000
    SETTINGS_PATH:configuration/cicd-settings-nexus3.xml
    maven-repo: local-maven-repo
    source: pipeline-source
    在这里插入图片描述

  2. 或可使用以下命令向“tasks-dev-pipeline”追加新的任务。

$ TASKS="$(oc get pipelines tasks-dev-pipeline -n ${CICD} -o yaml | yq r - 'spec.tasks' | yq p - 'spec.tasks')"
$ oc patch pipelines tasks-dev-pipeline -n ${CICD} --type=merge -p "$(cat << EOF
$TASKS
    - name: code-analysis
      taskRef:
        kind: Task
        name: simple-maven
      params:
          - name: GOALS
            value: 'verify sonar:sonar -Dsonar.projectName=${USER}-openshift-tasks -Dsonar.projectKey=${USER}-openshift-tasks -Dsonar.host.url=http://sonarqube.devsecops.svc.cluster.local:9000' 
          - name: SETTINGS_PATH
            value: configuration/cicd-settings-nexus3.xml
      resources:
        inputs:
          - name: source
            resource: pipeline-source
      workspaces:
        - name: maven-repo
          workspace: local-maven-repo
      runAfter:
          - build-app
EOF
)"
  1. 使用命令运行测试“tasks-dev-pipeline”任务。
$ tkn pipeline start tasks-dev-pipeline -n ${CICD} --showlog \
	--resource pipeline-source=tasks-source-code \
	--workspace name=local-maven-repo,claimName=maven-repo-pvc
。。。
[code-analysis : mvn-goals] [INFO] CPD Executor Calculating CPD for 10 files
[code-analysis : mvn-goals] [INFO] CPD Executor CPD calculation finished (done) | time=101ms
[code-analysis : mvn-goals] [INFO] Analysis report generated in 596ms, dir size=1 MB
[code-analysis : mvn-goals] [INFO] Analysis report compressed in 227ms, zip size=418 KB
[code-analysis : mvn-goals] [INFO] Analysis report uploaded in 118ms
[code-analysis : mvn-goals] [INFO] ANALYSIS SUCCESSFUL, you can browse http://sonarqube.devsecops.svc.cluster.local:9000/dashboard?id=-openshift-tasks
[code-analysis : mvn-goals] [INFO] Note that you will be able to access the updated dashboard once the server has processed the submitted analysis report
[code-analysis : mvn-goals] [INFO] More about the report processing at http://sonarqube.devsecops.svc.cluster.local:9000/api/ce/task?id=AXtOh8Xbqim3aGzTbamA
[code-analysis : mvn-goals] [INFO] Analysis total time: 1:09.925 s
[code-analysis : mvn-goals] [INFO] ------------------------------------------------------------------------
[code-analysis : mvn-goals] [INFO] BUILD SUCCESS
[code-analysis : mvn-goals] [INFO] ------------------------------------------------------------------------
[code-analysis : mvn-goals] [INFO] Total time: 02:38 min
[code-analysis : mvn-goals] [INFO] Finished at: 2021-08-16T10:35:27Z
[code-analysis : mvn-goals] [INFO] Final Memory: 56M/1670M
[code-analysis : mvn-goals] [INFO] ------------------------------------------------------------------------
  1. 用浏览器访问SonarQube的控制台,用登录OpenShift控制台相同的用户登陆,然后在“user1-openshift-tasks”中即可查看扫描结果项目。
    在这里插入图片描述
dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
31-Jenkins-使用Pipeline实现集成SoanrQube
小白的博客
02-04 1049
Jenkins-使用Pipeline实现集成SoanrQube
sonarqube-openshift-docker:Sonarqube的以OpenShift为重点的Docker构建
05-22
SonarQubeOpenShift上 此存储库包含构建SonarQube的特定于OpenShift的Docker映像所需的所有资源。 它受到上游SonarQube Docker映像的启发: : Docker集线器 SonarQube映像可在Docker Hub上找到: ://hub.docker.com/r/openshiftdemos/sonarqube/ 在OpenShift上部署 您可以将提供的模板与嵌入式或postgresql数据库一起使用,以在OpenShift上部署SonarQube: 具有嵌入式H2数据库的SonarQube: oc new-app -f sonarqube-template.yaml --param=SONARQUBE_VERSION=6.7 SonarQube与PostgreSQL数据库: oc new-app -f sonarqub
Jenkins Pipeline结合Sonarqube对Java代码进行审查
sinat_31632437的博客
02-20 865
Sonarqube
Azure DevOps Azure Pipeline 集成 SonarQube 维护代码质量和安全性
qq_41146932的博客
08-25 289
大家也多多操作练习,本文所分享的内容也存在着很多我自己的一些理解,有理解不到位的,还希望多多包涵,并且指出不足之处。选择 "Pipelines =》“”Service connection" ,点击 “New service connection” 添加新的服务连接。接下来就是 Pipeline 中添加 Sonar 的 Task了,打开已经编辑好的 Azure Pipeline 的 YAML 文件。选择本次实验的代码项目,点击 “Set Up“ 进行设置。点击 “Verify and save”
Sonar推出深层SAST,挖掘传统工具无法检测出的深层隐藏漏洞
m0_59657800的博客
10-09 158
每当您的代码与依赖项交互时,传统的SAST工具只能理解实际执行的代码的一小部分,因此会忽略深藏的漏洞。手动审查自己的代码库已经足够困难,还要审查所有来自依赖项中使用的功能的所有代码,以及它们与自身(也称为传递依赖项)的后续交互,这根本行不通。Sonar的清洁代码解决方案可以在您写代码的同时检测各种问题,Sonar团队也不断创新,研究新技术,以提供最全面的代码分析。当您的代码被扫描时,污点分析现在具有独特的能力,能够通过从全面的知识库中推断出缺失的知识,来理解代码和依赖项代码之间的代码交互。
openshift4-vmware-upi:支持在VMware上自动安装OpenShift 4的Ansible手册和文档
01-31
这是在RHV上自动化OpenShift 4部署的的延续。 目标是自动化辅助节点(用于点火伪像的Web服务器,外部LB和DHCP)的配置,并在VMware上自动部署Red Hat CoreOS(RHCOS)节点。 特定自动化 在IdM中创建所有SRV,A和PTR...
openshift4-rhv-upi:支持使用Baremetal UPI在RHV上自动安装OpenShift 4的Ansible手册和文档
02-02
使用Baremetal UPI在RHV上配置OpenShift 4.4 该存储库包含一组手册,以帮助促进OpenShift 4.4在RHV上的部署。 背景 该存储库中的剧本/脚本应该可以帮助您自动化RHV上的绝大多数OpenShift 4.4 UPI部署。 请务必阅读...
openshift-starter-guides:OpenShift for Developers Workshop入门
05-12
对于希望启动项目的开发人员,OpenShift通过简化的工作流程和经过验证的集成来实现高效的应用程序开发。目标使用OpenShift命令行(CLI)和Web控制台。 使用预先存在的容器映像部署应用程序。 使用应用程序标签来...
OpenShift4-tools:OpenShift 4工具
04-08
OpenShift4-工具 安装工具等。OpenShift 4集群。 目录 集群实用程序 oinst :OpenShift 4.x安装程序包装器,当前适用于AWS,GCE和libvirt。 您可能需要安装kubechart(github.com/sjenning/kubechart/kubechart)...
openshift4-upi-openstack
05-08
OpenStack上的OpenShift 4 UPI Ansible角色,用于将OpenShift 4的用户提供的基础架构安装方法的必要任务自动化到自定义OpenStack 基于原始的变数安装的默认变量位于defaults/main.yml执照BSD
sonarqube集成到jenkins的pipeline中,并指定jdk版本编译
最新发布
weixin_36222134的博客
11-17 627
在 “SonarQube Servers” 部分,点击 “Add SonarQube” 来配置 SonarQube 服务器的连接信息(例如服务器 URL、凭证等)。在 “JDK” 部分,点击 “Add JDK” 来添加 JDK,并为其指定一个名称(例如 “MyJava”),然后选择对应的 JDK 安装目录。你可以在 Jenkins 管理界面的 “Manage Plugins” > “Available” 中搜索 “SonarQube Scanner” 并安装该插件。
【报错】安装SonarQube、SonarScanner在linux服务器上的配置
我们都是被分成两半的人,一边热爱生活,一边憎恨生活。面对生活,我们总是在矛盾的两端摇摆,在反复的矛盾和犹豫中,一边踉跄前行,一边重振旗鼓。我渴望改变,渴望变得更好,渴望找到出口……就像一个溺水人的挣扎,就像一个救生圈。我是一个矛盾集合体,想要变得快乐,但是
04-07 2069
sonarqube7.5的压缩包里面有linux和windows的文件,所以你直接下载就可以了,不用分平台。查看你自己服务器的jdk版本,如果是1.8就安装sonarqube7.8及以下,否则后面会报错!如果你的电脑已经有了jdk1.8以及mysql5.7,那么你就可以直接使用如下两个版本了!如果出现错误很肯可能是你的数据库用户权限问题,或者是数据库版本问题,要仔细排查。而我电脑的mysql是8版本的,所以我只能在服务器上配置了~QAQ。注意你的sonarqube对应的MySQL版本。
新版本CodeSonar6.0在DevOps开发过程中提供了更深入的SAST集成
旋极智能的博客
04-29 394
近期,全球领先的应用程序安全测试产品和软件研究服务供应商GrammaTech发布了其CodeSonar®SAST(静态应用程序安全测试)产品的新版本,该产品帮助开发人员在不中断工作流程的情况下构建更安全、更可靠的代码。Codesonar6.0具有可视化和分析增强功能、GitLab集成以及500多个GrammaTech客户要求的多语言和编译器支持,以支持他们向DevSecOps实践的过渡。 “从根本上说,开发团队需参与培训,配备齐全,并积极进行安全开发(有时称为DevSecOps)。设计方法应该包括基本的编.
Sonarqube+jenkins+pipeline持续集成
cestlavieqiang的博客
03-13 1434
这篇文章主要介绍利用jenkins的pipeline功能,结合sonarqube的webhook以及质量阈功能实现持续集成。 前提条件:sonarqube的相关服务、jenkins的相关服务已经具备并启动。详情可参考之前文章: Sonarqube代码扫描之linux搭建 Sonarqube代码扫描之jenKins+git持续集成 Sonarqube代码扫描之增量扫描 配置主要分两点:1.sonar配置webhook以及质量阈值 2.jienkins配置pipeline脚本。 首先介绍sonar的配置 (1
SonarQube — 使用 SonarQube 扫描分析 Maven 译
Seina
09-26 2733
目录 Features特征 Compatibility兼容性 Prerequisites先决条件 Initial Setup初始设置 Global Settings全局设置 Analyzing a Maven Project分析Maven项目 Configuring the SonarQube Anal...
GrammaTech收购JuliaSoft,将CodeSonar®SAST平台的应用范围扩展到Java和C#
旋极智能的博客
07-24 163
软件应用安全测试解决方案的领先提供商GrammaTech,今天宣布已收购JuliaSoft S.r.l.的知识产权及资产。通过针对Java和C#代码的自动代码分析来扩展其CodeSonar®静态应用程序安全测试(SAST)平台。 为了向客户提供可靠的能够检测出嵌入式应用程序中安全漏洞和其他缺陷的集成解决方案,Julia静态分析器将统一到CodeSonar®平台中,使开发人员能够对C,C ++,Java和C#代码执行静态分析,更快速的开发安全的应用程序。 在最近的一份报告中,“ Gartner观察到AST(.
代码质量难评估?一文带你用 SonarQube 分析代码质量!
2301_78526383的博客
06-11 643
无论是架构师还是研发经理,代码质量都是必须要关注的重点。Sonar(没错,是 Sonar,不是 SonarQube)是一个用于代码质量管理的开源平台,用于管理代码的质量。它通过插件形式可以支持二十几种语言的代码质量检测,通过多个维度的检查了快速定位代码中潜在的或者明显的错误。千里之行始于足下,今天就让我带大家用一个简单的例子,看看怎么使用 SonarQube 进行代码质量管理。
Checkmarx与Sonarqube的比较
jimmyleeee的专栏
02-09 2427
Checkmarx是一款SAST,主要扫描安全问题和最佳实践的问题;SonarQube主要是扫描代码质量和最贱实践问题,最近也添加了一些安全规则的扫描的支持。下面是比较两款工具的主要参数的不同点,仅供参考。 类型 参数 Checkmarx Sonarqube 基本功能 支持语言 JavaScript,Java,PHP,Python,Swift,Go,Apex,Scala,.Net,C,C++,Android,Ruby,Perl,Groovy,PL/SQL, Asp.
sonarqube 代码质量分析
weixin_42412601的博客
05-11 2612
目录linux下的安装部署版本选择下载安装下载配置SonarQube 启动SonarQube汉化`SonarQube`扫描`maven`项目进行代码质量分析maven项目的扫描配置扫描结果分析SonarLint插件独立模式直插直用连接模式 linux下的安装部署 SonarQube是一种自动代码审查工具,用于检测代码中的错误,漏洞和多余的代码。它可以与您现有的工作流程集成,以便在项目分支和拉取请求之间进行连续的代码检查。比如: SonarQube集成 gitlab,在分支推送的时候自动进行代码检查分析,生
openshift internal-registry 切换 sc
05-25
要在 OpenShift 中切换内部注册表的 StorageClass(SC),可以遵循以下步骤: 1. 查看当前内部注册表的 StorageClass: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 2. 在输出中找到当前使用的 StorageClass 的名称,例如 `default`. 3. 创建一个新的 StorageClass,例如 `new-sc`, 并设置适当的参数(例如 storageClassName、provisioner、parameters 等)。 4. 更新内部注册表的配置以使用新的 StorageClass: ``` oc patch configs.imageregistry.operator.openshift.io/cluster -n openshift-image-registry --type merge --patch '{"spec":{"storage":{"pvc": {"claim": {"storageClassName": "new-sc"}}}}}' ``` 5. 验证配置是否已更新: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 在输出中,应该看到新的 StorageClass 的名称。现在内部注册表将使用新的 StorageClass 来创建持久卷声明(PVC)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值