史上最详细:一文教会使用sonarqube代码审查工具

最新推荐文章于 2025-03-14 12:27:36 发布
最新推荐文章于 2025-03-14 12:27:36 发布
阅读量3.9k 收藏 2
点赞数 1
分类专栏: SonarQube 文章标签: jenkins
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcsq1987/article/details/107156211
版权

一、启动SonarQube

进入sonar的bin目录($SONAR_HOME/bin/linux-x86-64),执行脚本 sonar.sh start

浏览器中访问 http://localhost:9000/ ,界面如下:

默认登录账户 admin 密码 admin,可登录后修改密码。

二、SonarQube web UI -项目页面

  显示用户所有的项目概况,各项目质量评级,并提供条件筛选。

 

通过在主页面选择单个项目,进入项目详情,该页面提供了当前项目最近一次扫描的结果评级,历史累计和新增问题数量,代码行数等信息。

三、SonarQube web UI –问题页面

  提供当前用户名下所有问题的列表,并提供条件筛选,包括问题类型,严重程度等,在当个项目中,问题页面显示单项目信息 。

选中单个问题,查看问题代码详情,sonarqube给出问题描述和修改意见。

项目经理可以根据实际情况调整问题类型,严重程度。打开或关闭问题,分配给指定的开发人员 ,添加备注。

在被分配问题的开发人员配置接收信息后,将收到分配问题邮件,可根据链接,直接打开问题详情。

  

四、SonarQube web UI –安全报告页面

针对安全问题,sonarqube提供了OWASP top10和SANS top25,热点问题检查,并提供了聚合报告,提高对安全问题的重视程度。

五、SonarQube web UI –评估页面

给出当前项目的评估概况信息,大小,可靠性,重复率,覆盖率等 

六、SonarQube web UI –代码页面

以.java文件为依据,给出各个.java文件统计信息

七、SonarQube web UI –活动页面

页面展示了每次代码扫描的基本信息和代码情况的折线图,折线图可以根据需要调整显示bugs数量,代码行数,覆盖率等信息。

  至此介绍结束,如果大家还想深入学习,可以扫描下图关注本人公众号,本人将在上面分享更多学习资料。或者有啥疑问可以直接给我留言。

 

 

代码审计:Fortify SCA 代码审计神器.
网络安全领域___专研者.
06-02 3612
Fortify 是个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。Fortify 支持多种编程语言,包括 Java、C/C++、C#、PHP、JavaScript 等。
爬虫反爬:文掌握使用 AST 技术还原混淆的代码实战
数据知道的博客
02-28 3828
抽象语法树是源代码的树状表示,每个节点代表代码中的个结构。通过 AST,开发者可以以结构化的方式分析和操作代码,而无需直接处理字符串形式的源代码。AST 在编译器、解释器、代码分析和转换工具中广泛应用。通过 AST 技术,可以有效地解析和还原混淆的 JavaScript 代码。结合 Babel 等工具,能够快速分析代码结构并还原可读性更高的代码。在实际应用中,需根据混淆模式灵活调整还原策略,并注意代码的合法性和性能问题。
通过Sonarqube提升代码安全质量
weixin_40320315的博客
07-29 407
Sonarqube简述Sonarqube个静态代码扫描工具,通过在代码开发早期阶段的检测扫描,发现代码中存在的问题,提升代码的安全性、可靠性及可维护性,Sonarqube可以和现有的开发工具进行集成,目前支持30多种不同的编程语言,相关资料可以在官方网站可查看:https://docs.sonarsource.co...
代码审计工具汇总
10-06
配套 【随 亦】的博客《代码审计--8--环境搭建+工具使用文的资料。注意文档哦
SonarQube(代码审计)
qq_62554190的博客
02-26 575
SonarQube(代码审计)
三款商业化源代码审计工具对比
weixin_33698823的博客
08-01 1810
随着互联网的飞速发展,各种网络应用层出不穷,网络应用已经成为人们生活必不可少的部分,在大家享受网络应用给人们带来便利的同时,安全问题频繁发生,信息泄露、业务中断、敲诈勒索等安全事件屡见不鲜,如何保证互联网的安全成为了个重要的话题。 近年来,大部分安全问题来自于应用层安全,应用层的安全问题主要由软件源代码中的安全缺陷所导致。有关源代码安全的研究越来越多...
代码审计工具
weixin_40855279的博客
08-13 2470
工具导出的报告,可读性较差,可以作为编写代码审计报告的参考,但是无法作为代码审计报告直接提交,给客户提交的代码审计报告需要自行编写。:根据实际情况进行选择,也可以全部选择默认,有些客户不想解决代码质量问题,或者只想关注远程能被利用的漏洞,则前两个问题就选择选项3即可。如果年限过久,规则库需要升级,般license是有限制的,无法在线升级,其他方法就是通过其他渠道获取新的规则库,手工对。,高级选项,如果需要扫码的源代码是非Java代码,就需要选择高级选项,工具支持大部分主流开发语言的扫描。
代码审计工具_「基础篇」PHP源代码审计
weixin_39534121的博客
12-08 375
本文由重生信息安全:主体编写,如有不当,还望斧正。关于工具:Rips 是使用PHP语言开发的个审计工具,所以只要大家有可以运行PHP的环境就可以轻松实现PHP的代码审计,如果大家感兴趣可以自行了解官网http://rips-scanner.sourceforge.net/关于下载:环境我这里用的PHPstduy,下载RIPS后将其解压放入PHPstduy的根目录下即可使用 ,浏览器访问local...
Android逆向:文掌握jadx的详细使用
数据知道的博客
02-28 3399
个开源的命令行工具,支持将Android的DEX和APK文件反编译为Java源码。Jadx 是款功能强大的 Android 反编译工具,支持 Java 代码反编译、资源查看和反混淆等功能。本文详细介绍了 Jadx 的安装、基本操作、高级功能和实战案例。在实际逆向工程中,Jadx 可以帮助开发者快速分析 APK 的逻辑和实现,是 Android 逆向的必备工具
【前沿技术RPA】 文了解UiPath的代码审查工具Workflow Analyzer
热门推荐
baidu_33146219的博客
11-18 1万+
Workflow Analyzer使用配置的规则集检查项目或工作流是否存在不致,而不执行项目。它记录在规则操作(错误、警告、信息或详细)下的Error List面板中找到的错误。这些规则基于UiPath Automation佳实践。
APP爬虫:文掌握手机群控的爬取实战
数据知道的博客
02-28 2793
手机群控是通过软件或脚本同时控制多台手机,批量执行相同的操作。批量数据爬取:同时从多台手机爬取数据。自动化测试:在多台设备上运行测试脚本。营销推广:批量操作 APP 进行推广。手机群控是提高 APP 爬虫效率的有效方法。本文详细介绍了如何使用 ADB、Airtest 和群控软件实现多设备批量操作,并结合实战案例讲解了如何批量爬取 APP 数据。在实际开发中,需根据具体需求选择合适的工具和策略,并注意代码的合法性和性能优化。
爬虫逆向:文掌握逆向中的加密与解密(代码可直接拿来用)
最新发布
数据知道的博客
03-14 5490
在现代网络爬虫开发中,目标网站为了防止数据被轻易抓取,通常会对传输的数据进行加密处理。这些加密手段包括但不限于 Base64 编码、对称加密(如 AES)、非对称加密(如 RSA)、自定义混淆算法等。理解和破解这些加密解密算法是爬虫逆向工程中的重要环节。有些网站使用自定义的加密算法,需要通过逆向分析找到加密逻辑。案例:逆向自定义加密使用浏览器开发者工具(F12)调试 JavaScript 代码。找到加密函数,分析其逻辑。使用 Python 实现相同的逻辑。# 示例:自定义 XOR 加密。
文教你玩转SonarQube平台搭建(超详细,图文并茂)
06-23 2888
、简介 SonarQube介绍 SonarQube个开源的代码质量分析平台,便于管理代码的质量,可检查出项目代码的漏洞和潜在的逻辑问题。同时,它提供了丰富的插件,支持多种语言的检测,如Java、Python、Groovy、C、C++等几十种编程语言的检测。它主要的核心价值体现在如下几个方面: (1)检查代码是否遵循编程标准:如命名规范,编写的规范等。 (2)检查设计存在的潜在缺陷:SonarQube通过插件Findbugs、Checkstyle等工具检测代码存在的缺陷。 ...
白盒代码审计工具——CodeQL安装与使用教程【Linux+Windows】
m0_54129327的博客
12-05 1万+
学习CodeQL代码审计工具的总结 CodeQL的安装
【转】开源代码审计工具备忘
CharlesPrince的专栏
04-07 3785
开源和非商业公司 2.3.1.1 .NET (C#, VB.NET and all .NET compatible languages) • Reflector.CodeMetrics — (an add-in for the essential Reflector)  • CCMetrics  • CRPlugin (plugin for DxCore)  • FxCop — Free
Seay源代码审计
qq_59611876的博客
04-17 5284
Sea源代码审计
代码审计工具有哪些?网络安全课程学习
VN520的博客
03-21 2181
代码审计,顾名思义就是检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修订措施和建议。那么代码审计工具有哪些?以下为详细的内容介绍。在源代码的静态安全审计中,使用自动化工具代替人工漏洞挖掘,可以显著提高审计工作的效率。而且学会利用自动化代码审计工具,是每个代码审计人员必备的能力。
代码质量检测() —— 常用代码质量管理工具
liaoguangxi的博客
06-29 1万+
FindBugs是个java byte code静态分析工具,检测出Java程序中上百种潜在的不同类型的错误。不注重style及format,注重检测真正的bug及潜在的性能问题,尤其注意尽可能抑制。
使用sonarqube进行代码review
zhaodongchao的博客
06-10 897
个项目组或者整个公司的开发当中,由于开发人员的开发能力不同,写出的代码或多或少或有很大的差异。并且会不经意间留下很多bug。 如果每周都花时间去看所有人员的编码质量将会是件非常吃力的事儿,项目经理基本会给累死。所以我们得借助工具。现在市面上代码质量监测工具有很多,今天就来看下其中比较出名的SonarQube在检查Java项目代码中的使用。 由于sonarqube企业版收费,且高版本的对mysql的兼容不好,今天就以sonarqube6.7.7社区版为例来进行次代码质量检查。 首先下载安装包,官方下
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值