sonarqube使用指北(三)-编写代码进行自动化扫描

最新推荐文章于 2024-05-31 22:09:15 发布
最新推荐文章于 2024-05-31 22:09:15 发布
阅读量678 收藏 17
点赞数 16
分类专栏: 安全工具 文章标签: sonarqube 代码扫描
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiayu729100940/article/details/136885492
版权

一、引言

上一篇文章之后 我们应该已经成功完成的配置了扫描环境并执行了一次基本的本地扫描,但是之前的手动扫描需要我们每一次都手动切换到代码目标并手动执行扫描命令,效率很低。在代码库较大的情况下会占用大量的时间。这一章我们会通过编写python代码的形式来实现自动化的本地扫描。
本篇需要使用的基本工具

  • python3
  • linux下的shell脚本
  • crontab定时任务

二、代码创建扫描项目

sonarqube官方提供了大量的api接口供我们使用,我们可调用这些接口来实现自动化创建。
在这里插入图片描述通过这个地方就能查看当前安装版本支持的各种api接口,这里我们需要调用/api/projects/create

在这里插入图片描述

  • mainBranch为项目分支,非必填,默认为main分支
  • name为项目的名字,必填,可重复
  • project为项目的唯一标识,必填,不可重复
  • visibility为项目的公开属性,用于项目管理,非必填,默认为公开,即所有sonarqube用户都能查看该项目

代码示范,一次成功的项目创建实现如下:

user ='admin'
password = 'admin'
sonarqube_url ='url'
#创建sonarqube项目
def create_sonarqube_project(sonarqube_url, project_name, username, password):
    api_endpoint = sonarqube_url + "/api/projects/create"
    data = {
   
        "project": project_name,
        "name": project_name
    }    
    try:
        response = requests.post(api_endpoint, data=data, auth=HTTPBasicAuth(username, password))
        response.raise_for_status()  # 抛出异常如果响应不是 200 OK
        print(f"项目 '{
     project_name}' 创建成功!")  
        return True
    except requests.exceptions.RequestException as e:
        print("创建项目失败:", e)
        return False
  • 创建项目同样需要授权,这里我们使用了auth=HTTPBasicAuth(username, password) 来实现,这里的账号信息就是对应sonarqube的账号密码,当然你也可以通过生成令牌的方式来实现授权,这里没有列举。
  • 这里的代码中为了方便查看,将项目的name和key设置为同样的值
  • 如果项目创建成功,会返回200
  • 如果认证错误,会返回401
  • 如果项目存在,会返回400

三、代码执行本地扫描

#调用sonarqube扫描mvn代码
def exec_mvn_scan(path,project):
    command =f'''mvn clean verify sonar:sonar \
  -Dsonar.projectKey={
     project} \
  -Dsonar.host.url=url \
  -Dsonar.login=sqa_2cb36aeb59566dbc633bfc10b27371c732******
    '''
    working_dir = path
    result = subprocess.run(command, cwd=working_dir, shell=True
最低0.47元/天 解锁文章
fly夏天
关注
  • 16
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java开发-接入sonar api接口实现代码扫描
javaYanKang的博客
10-12 1684
前言本文主要介绍在java开发过程中如何借助sonar api实现代码扫描功能。仅介绍简单引入过程,详细对于sonar api接口的研究后续会进行补充。
kubernetes搭建SonarQube进行代码扫描
u014118698的博客
12-22 1154
一,使用nas创建pv(存储卷)和pvc(存储声明) 1.1 为sonarqube使用db创建存储 1.2 创建pvc,用于db持久化 1.3 为sonarqube使用data/log创建存储 1.4 创建pvc,为sonar声明使用data 二,创建容器和服务 2.1 部署postgres数据库,含Service apiVersion: apps/v1 kind: Deployment metadata: name: postgres-sonar labels: app:
看这里,全网最详细的Sonar代码扫描平台搭建教程
最新发布
apex_eixl的博客
05-31 2527
sonar是一款静态代码质量分析工具,支持Java、Python、PHP、JavaScript、CSS等25种以上的语言,而且能够集成在IDE、Jenkins、Git等服务中,方便随时查看代码质量分析报告。 ​
sonarqube配置本地扫描代码
pxzsky的专栏
01-09 648
最后,把mvn命令粘出来,在本机项目根目录中执行即可。1)添加pluginGroup。
SonarQube API接口
小楼一夜听春雨,深巷明朝卖杏花
06-26 4842
//查找项目 api/projects/search?projects=${projectName}" //创建项目 api/projects/create?name=${projectName}&project=${projectName}" //更新语言规则集 api/qualityprofiles/add_project?language=${language}&qualityProfile=${qualityProfile}&project=${projec....
sonar-scanner-Windows本地Python代码检查使用方法【免费下载sonar-scanner验证有效】
qq_41845402的博客
06-21 1055
sonar作为开源的代码扫描工具,sonar-scanner是windows扫描器。SonarQube是一个开源的代码质量管理平台,可以将 sonar-scanner扫描的结果进行分析。公司有搭建SonarQube质量管理平台,支持本地扫描和gitlab集成扫描
sonarqube使用教程
m0_62870705的博客
01-19 1444
SonarQube是一个用于代码质量管理的开放平台。通过插件机制,SonarQube可以集成不同的测试工具,代码分析工具,以及持续集成工具。该工具可以通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便地对不同规模和种类的工程进行代码质量管理。在对其他工具的支持方面,SonarQube不仅提供了对IDE的支持,可以在Eclipse和这 些工具里联机查看结果;同时SonarQube还对大量的持续集成工具提供了接口支持,可以很方便的在持续集成中使用
linux sonarqube-7.6 and sonar-scanner-cli-4.0.0.1744
04-22
它还支持持续集成/持续部署(CI/CD),可以与 Jenkins, Travis CI 等工具集成,实现自动化代码质量检查。 3. **安装与配置**:在 Linux 上部署 SonarQube 需要先下载对应版本的压缩包,解压后启动服务。通常需要...
代码质量管理SonarQube实现Objective C静态代码扫描环境搭建总结
01-21
7. **执行代码分析**:使用 SonarRunner 执行代码分析任务,将 OClint 的扫描结果导入 SonarQube进行展示。 #### 五、结论 通过上述步骤,我们可以在 MacOS X 10.9 操作系统上成功搭建一套基于 SonarQube 和 ...
SonarQube使用手册.zip
09-22
在Eclipse中,首先需要安装SonarLint插件,然后配置SonarQube服务器地址,这样Eclipse就能在编写代码时同步获取SonarQube的规则,并对可能出现的问题进行高亮提示。在IntelliJ IDEA中,集成过程类似,SonarLint插件...
sonar-kotlin:Kotlin的SonarQube插件
02-01
3. **执行分析**:运行SonarQube扫描器,插件会自动分析Kotlin源代码并上传结果到SonarQube服务器。 4. **查看报告**:在SonarQube界面中查看分析报告,包括问题详情、代码质量指标和改进建议。 ### 结合持续集成/...
sonarqube-6.0.zip
08-05
使用SonarQube时,首先要在服务器上安装并配置SonarQube,然后在客户端项目中安装SonarScanner,编写合适的配置文件,最后执行扫描命令将结果上传至SonarQube服务器。通过Web界面,团队成员可以查看分析结果,跟踪...
持续集成交付CICD:GitLabCI 实现Sonarqube代码扫描
cronaldo91的博客
12-07 1202
(6) 修改gitlab-ci.yaml,,添加代码扫描阶段sonarscan。第二种方式:重新安装sonar-scanner插件。(2)maven项目流水线调用公共库。(9)sonarqube查看项目。(3)项目组添加token认证。(6)maven项目运行流水线。问题2:bin目录软连接过多。(4)修改公共库流水线文件。报错2:符号连接的层数过多。(1)打开maven项目。(5)修改CI.yaml。问题1:环境变量未声明。第一种方式:删除软连接。这里采用第二种方式。
sonarQubeApi调用总结
热门推荐
tushuping的博客
07-12 2万+
       最近公司开发涉及到对Sonar获取数据和创建用户等操作,Sonar为我们提供了web Api,同时,在sonar5.x版本之前还贴心的为我们提供了sonar-ws-client,但是由于之后版本迭代比较快,接口差异大,sonar-ws-client在较新的版本中已不在适用。        有人说官网上不是提供了Api么,是的,我们需要自己再封装一下,本帖为扫盲贴,大神请绕道,首先在适...
静态代码扫描工具使用教程 - SonarQube+SonarScanner
weixin_33806914的博客
10-22 1002
预置条件: Jdk已安装 Mysql已安装 1. 下载 SonarQubeSonar scanner。 SonarQube: http://www.sonarqube.org/downloads/ Sonar scanner: https://docs.sonarqube.org/display/SCAN/Analyzing+with+SonarQube+Scanner ...
sonarqube 接口api调用查询项目扫描结果
小生测试的博客
12-11 1万+
sonar接口信息可以在这里获取 地址http://192.168.240.82:30006/web_api 1.获取sonar的认证token 使用postman 选择basic auth获取后,可以在heders看到Authorization http://192.168.240.82:30006/api/authentication/login 2.获取项目信息 如果没有token,只...
python 获取sonarqube数据
chenGL
05-24 1191
1.sonarqube是一款代码分析的工具,通过soanrScanner扫描后的数据传递给sonarqube进行分析 2.sonarqube社区版没有对c++类代码的分析,但是可以找到一个开源的包,安装即可,扫描的话可以使用cppcheck来进行扫描 安装python对于sonarqubeapi包:python-sonarqube-api 建立sonarqube连接 from sonarqube import SonarQubeClient sonar = SonarQubeClient( .
sonar api 获取质量数据
lxlmycsdnfree的博客
05-02 1万+
查看sonar api接口:http://{ip}:9000/web_api 可以通过接口: http://my.sonar.com/drilldown/measures/My-Project-Name?metric=line_coverage 官方说这个接口也是可以获取的,但是尝试返回404 通过接口:(接口resource=componentKey) http://my.son...
SonarQube集成python检测(11)
小冯先生的博客
05-28 8953
sonar检测python的检测工具 sonar中的插件python自带一些检测规则,但sonar想要集成python的覆盖率、单元测试报告、和更多的代码规则,需要集成其他python的检测工具 单元测试(Ant模式下) 如上所至项目根目录的sonar-project.properties文件添加如下配置 sonar.python.coverage.reportPath=*coverage-*...
静态代码扫描工具java_静态代码扫描工具 - sonarQube (四) - 扫描 java 项目
05-13
在上一篇文章中,我们介绍了如何安装 SonarQubeSonarScanner,并扫描了一个 C# 项目。本文将介绍如何扫描 Java 项目。 ## 准备工作 首先,我们需要安装 Java 环境。可以从官方网站上下载并安装 JDK。 另外,我们还需要安装 Maven。可以从官方网站上下载并安装 Maven。 ## 配置 SonarQube 与上一篇文章相同,我们需要在 SonarQube 中添加 Java 插件。在 SonarQube 的插件页面中搜索 Java 并安装。 ## 配置项目 在扫描 Java 项目之前,我们需要在项目中添加一个 SonarQube 插件。在项目的 pom.xml 文件中添加以下内容: ```xml <build> <plugins> <plugin> <groupId>org.sonarsource.scanner.maven</groupId> <artifactId>sonar-maven-plugin</artifactId> <version>3.6.0.1398</version> </plugin> </plugins> </build> ``` ## 执行扫描 在项目的根目录下,执行以下命令: ``` mvn sonar:sonar \ -Dsonar.projectKey=<项目键> \ -Dsonar.host.url=http://localhost:9000 \ -Dsonar.login=<访问令牌> ``` 其中,`<项目键>` 是在 SonarQube 中创建项目时指定的项目键;`http://localhost:9000` 是 SonarQube 的地址;`<访问令牌>` 是在 SonarQube 中创建用户并生成的访问令牌。 执行完毕后,访问 SonarQube 网站,可以看到 Java 项目的扫描结果。 ## 结论 通过上述步骤,我们可以轻松地扫描 Java 项目,并通过 SonarQube 分析代码质量。如果想了解更多关于 SonarQube 的用法,可以查看官方文档。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值