Java项目sonar,denpendency-check,infer扫描集成

已于 2023-06-12 10:47:30 修改
阅读量726 收藏 8
点赞数 4
分类专栏: sonar 文章标签: java
于 2023-01-03 14:34:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wergh_2008/article/details/128532596
版权

Docker部署sonar

1,postgre

docker run -d -p 5432:5432 --name postgres14 \

-e POSTGRES_USER=sonar \

-e POSTGRES_PASSWORD=sonar \

-e PGDATA=/var/lib/postgresql/data/pgdata postgres:14.2

2,sonar8.9

docker run -d -p 5209:9000 --name sonarqube \

-e SONAR_JDBC_USERNAME=sonar \

-e SONAR_JDBC_PASSWORD=sonar \

-e SONAR_JDBC_URL="jdbc:postgresql://192.168.10.10:5432/sonar" \

sonarqube:8.9.7-community

(192.168.10.10为容器所在本地主机)

3,sonar平台中安装denpendency及swift插件(sonar默认用户名密码admin/admin)

  1. denpendency安装后配置位置

 2)swift安装后配置位置

4,集成infer

infer安装。

使用官方dockfile安装1.1。

     (以下的 Dependency 、sonar-scanner、python3、mvn等工具都在此容器内手动配置安装)

     注意点,安装过程中dockerfile有一步是下载infer二进制包的。这一、步是从github下载。很容易失败,提示返回码非0,也就是下载失败。可在dockerfile中把此步注释掉这步,先生成容器,然后使用浏览器下载infer二进制包后docker cp进容器,再按dockerfile中步骤进行设置安装。为加快安装速度,可以使用163的apt国内源。

本次使用的infer Dockerfile:

FROM debian:bullseye-slim

LABEL maintainer "Infer team"

RUN rm /etc/apt/sources.list && \
echo "deb http://mirrors.163.com/debian/ bullseye main non-free contrib" >> /etc/apt/sources.list && \
echo "deb-src http://mirrors.163.com/debian/ bullseye main non-free contrib" >> /etc/apt/sources.list && \
echo "deb http://mirrors.163.com/debian-security/ bullseye-security main" >> /etc/apt/sources.list && \
echo "deb-src http://mirrors.163.com/debian-security/ bullseye-security main" >> /etc/apt/sources.list && \
echo "deb http://mirrors.163.com/debian/ bullseye-updates main non-free contrib" >> /etc/apt/sources.list && \
echo "deb-src http://mirrors.163.com/debian/ bullseye-updates main non-free contrib" >> /etc/apt/sources.list && \
echo "deb http://mirrors.163.com/debian/ bullseye-backports main non-free contrib" >> /etc/apt/sources.list && \
echo "deb-src http://mirrors.163.com/debian/ bullseye-backports main non-free contrib" >> /etc/apt/sources.list && \
    apt-get update && \
    mkdir -p /usr/share/man/man1 && \
    apt-get install --yes --no-install-recommends \
      curl \
      libc6-dev \
      openjdk-11-jdk-headless \
      sqlite3 \
      xz-utils \
      zlib1g-dev && \
    rm -rf /var/lib/apt/lists/*

备注:如果有在扫描容器上安装python的需要。最好在infer的容器上安装python,不要在python容器上安装infer。安装方法:apt install python3,然后通过

1),wget https://bootstrap.pypa.io/get-pip.py

2), python3 get-pip.py  完成pip的安装

3), 在启动扫描容器时,加好-v 及-p参数。方便后面扩展功能

5,Dependency 集成

安装到infer及sonar-scan所在docker容器。为方便集成,sonar-scan、infer、dependency在一个容器内部署

6,Infer及denpendency扫描报告集成到sonar

 1),infer报告合并(前提是已经正常infer扫描并生成报告了)

   sonar安装sonar-swift组件后,并保证激活相关规则库。sonar-project.properties文件中添加:sonar.java.infer.report=infer-out/report.json或者在sonar-scanner命令行中加上-Dsonar.java.infer.report=infer-out/report.json。执行扫描时先完成infer扫描,后执行sonar-sanner,

   2),denpendency 报告集成

   先使用denpendency完成扫描,生成报告

sonar-project.properties文件中添加:

sonar.dependencyCheck.htmlReportPath=./dpreport/dependency-check-report.html

sonar.dependencyCheck.xmlReportPath=./dpreport/dependency-check-report.xml

sonar.dependencyCheck.jsonReportPath=./dpreport/dependency-check-report.json

添加后执行:sonar-sanner。

各组件安装配置完成后,对外提供一个http接口,用于集成到CI

from flask import Flask, request
from concurrent.futures import ThreadPoolExecutor
import os,datetime

app = Flask(__name__)

# 创建线程池执行器
executor = ThreadPoolExecutor(1)
# 待扫描的代码根目,可按自己情况调整
rootdir = "/home/work/procode"

@app.route('/sonar')
def testGet():
    '''使用异步方式处理'''
    proname = request.args.get('proname')
    executor.submit(api_task,proname)
    return "测试任务已提交"

def api_task(proname):
    os.chdir(rootdir+"/"+proname)

    r = os.system("infer run -- mvn package")

    r = os.system("dependency-check.sh --disableRetireJS --disableNodeJS " \
                "--project {} -s ./target --format ALL -o ./".format(proname)
             )

    r = os.system("sonar-scanner " \
            "-Dsonar.projectKey={0} " \
            "-Dsonar.projectName={0} " \
            "-Dsonar.projectVersion=1.0 " \
            "-Dsonar.sources=src " \
            "-Dsonar.sourceEncoding=UTF-8 " \
            "-Dsonar.language=java " \
            "-Dsonar.java.binaries=target/classes " \
            "-Dsonar.dependencyCheck.htmlReportPath=./dependency-check-report.html " \
            "-Dsonar.dependencyCheck.jsonReportPath=./dependency-check-report.json " \
            "-Dsonar.dependencyCheck.xmlReportPath=./dependency-check-report.xml " \
            "-Dsonar.java.infer.report=infer-out/report.json ".format(proname)
            )

if __name__ == '__main__':
    app.run(host="0.0.0.0",port=5000,debug=True)

wergh_2008
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
sonar-dependency-check-plugin-3.0.0-SNAPSHOT.jar
09-06
sonar安全扫描插件
依赖项检查声纳插件:将依赖项检查报告集成SonarQube中
02-05
SonarQube 7.x和8.x的依赖项检查插件 将报告集成SonarQube v7.9或更高版本中。 该项目将尝试将所有代码从master分支反向移植到最后支持的LTS。 请查看或分支以获取旧的受支持版本。 关于依赖性检查 依赖关系检查是一种实用程序,它尝试检测项目依赖关系中包含的公开披露的漏洞。 它通过确定给定依赖项是否存在通用平台枚举(CPE)标识符来完成此操作。 如果找到,它将生成一个报告,链接到相关的CVE条目。 Dependency-Check支持以多种不同语言(包括Java,.NET,Node.js,Ruby和Python)识别项目依赖项。 注意 这个SonarQube
开源工具系列5:DependencyCheck
qq_44005305的博客
03-08 1328
Dependency-Check 是 OWASP(Open Web Application SecurityProject)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。
Jenkins Pipeline集成Sonar进行代码质量检测
chihujiang3132的博客
03-07 1717
Jenkins Pipeline集成Sonar进行代码质量检测 简介 jenkins pipeline Jenkins Pipeline (或简称为 "Pipeline" )是一套jenkins插件,将持续交付的实现和实施集成到 Jenkins 中。 Jenkins Pipeline 表达了...
sonar 使用常见问题总结
liuzhen007的专栏
11-13 8210
目录 前言 正文 问题一、ERROR: Not authorized. Please check the properties sonar.login and sonar.password. 问题二、SCM provider autodetection failed. Both svn and git claim to support this project. Please use sonar.scm.provider to define SCM of your project. 问题三、E
sonarQube集成dependency-check
m0_71845127的博客
04-23 1172
可以生成html报告在target目录下(我自己这里是使用Jenkins,生成在workspace下的项目构建后的target目录下),请根据自己需要参考配置对应的参数即可。(1)另外一种方式集成dependency-check,即maven项目集成,需要在maven的项目依赖你添加dependency-check相应的依赖。例如:dependeny-check.bat --project projectName -s F:\irms -o F:\irms\target。-s:需要扫描的jar包位置。
代码依赖包安全漏洞检测 (OWASP) Dependency Check
loujun2016的博客
04-07 7374
构建DevSecOps过程中,代码依赖成分管理是一个较为头疼的事情,在某个甲方时自研了一套SCA的软件成分管理工具,由于功能做的比较重,在新公司并不适用。于是找到了OWASP开源的代码依赖扫描工具 以下有部分内容为摘抄自其它博客 此帖目的为记录遇到的问题 集成到idea工具时出现的问题一:Unable to download the NVD CVE data; the results may not include the most recent CPE/CVEs from the NVD. 问题.
org.sonarsource.php,声纳扫描器设置为多模块项目的单独依赖检查报告
weixin_31614747的博客
03-11 342
我有多模块项目设置 . 由于我的项目没有设置Jenkins / Maven,我使用CLI分别获取每个模块的依赖关系报告,并将它们复制到根据其模块命名的根项目文件夹例如:D: MyProject--module1--src--module2--src--dependency-check-module1-report--dependency-check-report (XML)--dependency...
dependency check工具的使用
热门推荐
bluebiubiu的博客
11-09 1万+
前置条件:先下载dependency check文件包 Dependency-Check工具下载地址https://owasp.org/www-project-dependency-check/,在右侧选择command line,如下图: 方式一:用命令行来运行 windows下的命令 dependency-check.bat --disableRetireJS--disableNodeJS --project test -s D:\checkjar\ -o D:\report\ ...
sonar-java-custom-rules.zip
05-26
sonar自定义java代码检测
sonar-java-plugin-4.10.0.10260.jar
08-03
sonar-java-plugin-4.10.0.10260.jar
sonar-check-api-3.7.4.zip
10-13
yaml.zip,创建yaml节点的jackson类api(基于snakeyaml)读取和创建yaml节点的jackson类api(基于snakeyaml)。
java代码集成sonar接口,实现sonar操作的demo
04-01
利用java代码,调用sonar接口,实现在sonar里面创建,更改,用户,组,权限等一系列操作
Day25-Java基础之常用类1
m0_46053885的博客
04-27 1123
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
链表刷题集
最新发布
yajunjiao的专栏
04-30 502
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
d15(136-148)-勇敢开始Java,咖啡拯救人生
m0_73459387的博客
04-28 1100
对象哈希值的特点:同一个对象调用hashCode()返回的哈希值相同;HashMap的键依赖hashCode方法和equals方法保证键的唯一,存储自定义类型的对象时,重写这两个方法。实际上,Set系列集合的底层就是基于Map实现的,只是Set集合中的元素要键数据,不要值数据。当12个位置都占满时就会扩容,大约扩容为原来的二倍,再把原数组数据转移到新数组。使用迭代器遍历集合时,又同时在删除集合中的数据,程序就会出现并发修改异常的错误。基于哈希表实现,每个键值对额外多了一个双链表的机制,记录元素顺序(保证。
Java解决最长公共前缀
无人罪的博客
04-28 396
编写一个函数来查找字符串数组中的最长公共前缀。如果不存在公共前缀,返回空字符串""。
【一步一步了解Java系列】:探索Java基本类型与C语言的区别
2302_81249757的博客
04-29 909
​​喜欢的一句话: 常常会回顾努力的自己,所以要为自己的努力留下足迹。作者:小闭。
sonar-scanner创建空项目
01-20
下面是使用sonar-scanner创建空项目的步骤: 1. 确保已经安装了SonarQube和sonar-scanner,并且已经配置好了环境变量。 2. 在命令行中进入你的项目目录。 3. 运行以下命令创建一个空项目: ```shell sonar-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值