analysis تجزیه و تحلیل کد با SonarQube در داکر – تیم امنیت اطلاعات

نصب و پیکربندی SonarQube

من قبلاً از codelyzer استفاده می کردم ، و به نوعی بسیار شبیه tslint است.

با این حال ، من می خواستم چیزی جدید را تست کنم و فکر کردم که این بار اجازه دهید SonarQube را امتحان کنیم.

نصب

اسناد واقعاً عالی است ، در مورد اما خیلی زود متوجه شدم که نیاز دارم درباره نصب بسیاری از وابستگی ها به گونه ای که همه این کارها شود.

من در مورد چگونگی جلوگیری از نصب های غیر ضروری فکر کردم و وقتی تصویر Docker را دیدم ، همه چیز آسان تر می شود.

در داکر هاب ، می توانید اطلاعات مورد نیاز برای شروع کار را پیدا کنید ، اما برای اهداف این مقاله ، من فقط برای شروع کار از یک دستور استفاده می کنم.

 docker run  -d   - name  sonarqube  -p  9000: 9000 sonarqube 

این دستور یک تصویر را می گیرد و یک ظرف را از آن ایجاد می کند.

می توانید یک مرورگر را باز کنید و به محلی که برای کنترل پانل سرور 9000 بروید بروید.

پسورد Sonarqube و ورود به صورت پیش فرض

برای ورود به سیستم از نام کاربری پیش فرض و مدیر رمز عبور استفاده کنید.

ایجاد یک پروژه

نمی خواهم به SonarQube بپیوندم ، اما این پروژه یک پایگاه کد است که می توانید نتایج اسکن انجام شده توسط اسکنر را مشاهده کنید.

پس از ورود به سیستم ، روی دکمه کلیک کنید. "ایجاد یک پروژه جدید" در مرکز صفحه ، سپس یک کلید پروژه منحصر به فرد را وارد کنید و نام والدین.

در صفحه بعد ، نامی را برای نشانه پروژه خود وارد کنید.

این کلیدی است که اسکنر برای تأیید اعتبار به سرور و ارسال نتایج اسکن از آن استفاده می کند.

این کلید را ضبط کنید ، زیرا دیگر هرگز آن را مشاهده نمی کنید. وقتی این صفحه را ترک می کنید.

روی ادامه کلیک کنید و صفحه ای را مشاهده خواهید کرد که می توانید پیکربندی پروژه خود را مشخص کنید.

اجزای لازم را انتخاب کنید.

اسکنر

را در این مرحله بارگیری کنید. شما باید اسکنر را بارگیری کرده و آنرا در پوشه ای بنام پسران از حالت فشرده خارج کنید

من معمولاً برای این نوع استفاده از ابزارهای c: استفاده می کنم (اگر تصمیم گرفتید آن را در جای دیگری از بین ببرید ، جایگزین آن شوید).

پس از آن ، پرونده پیکربندی اسکنر را با نام سونار باز کنید. -scanner.properties از پوشه c: Tools sonarqube پیکربندی و خطی را که حاوی آدرس سرور است ، نامشخص کنید.

 # اینجا پیکربندی کنید اطلاعات کلی درباره محیط ، مانند جزئیات اتصال سرور SonarQube به عنوان مثال 
 # اطلاعات درباره پروژه خاص باید در اینجا ظاهر شود 

 # ----- پیش فرض سرور SonarQube 
 sonar.host.url = http: // localhost: 9000 

 # ----- رمزگذاری کد منبع پیش فرض 
 sonar.sourceEncoding = UTF-8 

sc را شروع کنید Animate

پس از اتمام کار ، شما آماده می شوید.

دستور زیر را از ریشه پروژه اجرا کنید و منتظر بمانید تا اسکن کامل شود.

 C:  Tools  sonar  bin  sonar-scanner .bat   -D  "sonar.projectKey = fp"   -D  "sonar.source =."   -D  "sonar.host.url = http: / /localhost:9000"ociation19659016-03-Dould19659046-03"sonar.login=******************************** ** "  -D " sonar.excactions = node_modules / ** / * "

💡 در آخرین مرحله ، وقتی شما پرونده زیپ اسکنر را بارگیری کرده اید ، دستور اجرای آن به منظور ارسال شده است آماده کار بودید ، فقط پوشه حذف را اضافه کنید تا از تجزیه و تحلیل کد در کتابخانه های خارجی جلوگیری شود.

اسکن بسته به اندازه پایه کد به پایان می رسد.

اما به محض اینکه همه چیز تمام شد ، می توانید نتیجه را در نوار ابزار SonarQube مشاهده کنید. [19659059] if اگر فقط کد کد را از مخزن git خود جعل کرده اید npm install یا نخ را فراموش نکنید. من قبل از فهمیدن این که نصب نشده اند ، با چندین خطا روبرو شدم.

و پس از انجام این کار ، در اینجا چگونگی نگاه کردن به این شرح است SHA داشبورد.

هرج و مرج کمی بدیهی است، پایگاه کد که من بررسی، بود.

در حال حاضر شما می دانید که چگونه برای نصب و استفاده SonarQube بر روی ویندوز!

سانتی متر است. همچنین: