代码 安全扫描 Sonar 安装使用
本文主要说明Sonar的安装方式并附上依赖安装包,本文目标只实现本地搭建测试的Sonar环境,以及本地的测试项目的非定制化扫描
本机测试环境:Win10-X64,.vs2017
依赖包:
1.SDK Java的东东
2.sonarqube 静态代码检查工具,B/S
3.sonar-scanner-msbuild 真正的代码扫面工具
Soanr的代码检测的实现机制,就是通过客户端的工具对代码进行扫描,然后发送到 sonarqube,然后进行结果报告查看
开始安装:
1.首先安装SDK,安装完成之后,配置相应的path环境变量,打开cmd输入java,如下图代表安装成功:
2.安装Sonar
下载Sonar ,下载地址 :https://www.sonarqube.org/downloads/
解压下载包之后,执行 bin\windows-x86-64\StartSonar.bat
如上图,代表启动成功,浏览器输入:http://localhost:9000/ 即可访问,已经默认内置了管理员账号:admin / admin
3.配置中文包
如何打开配置中文包呢?
安装之后需要重启才能生效
如何强制停止sonar服务呢? 打开任务管理器,关闭 Java进程
4.安装包 sonar-scanner-msbuilld
canner包就是真正进行代码扫面的工具包
https://github.com/SonarSource-VisualStudio/sonar-scanner-msbuild/releases/download/2.2/sonar-scanner-msbuild-2.2.0.24.zip
下载后解压至任意目录即可,这里直接放到了c:\sonar
开始使用
1.新建项目
填写项目的关键信息即可,选择项目开发语言
2.扫描项目三部曲
这里的三步曲就是sonar新建项目中的最后步骤的扫描教程,分为三步
1.配置环境变量,也就是下载的Sonar-Canner-Msbuild 中 SonarScanner.MSBuild.exe的位置
2.进行项目解决方案所在的目录,也就是 sln 文件所在目录,打开cmd命令 执行如下命令,下面的命令是根据创建项目时生成的需要复制出来
a.SonarScanner.MSBuild.exe begin /k:"Mytest" /d:sonar.host.url="http://localhost:9000" /d:sonar.login="d8fb95b33c46b1a755e9f93ca0ee62e7bb36591b"
b.MsBuild.exe /t:Rebuild
c.SonarScanner.MSBuild.exe end /d:sonar.login="d8fb95b33c46b1a755e9f93ca0ee62e7bb36591b"
执行效果如下:
如果MsBuild.exe /t:Rebuild 报错,需要解决项目中的问题,这是编译报错,下图为编译成功,且报告已经上传到SonarQube ,可以到 http://localhost:9000 查看具体报告
3.查看项目扫描报告
查看报告
这里提供一个批处理,配合上述的放入c:\sonar,使用如下命令即可一部完成代码分析并上报, 新建sonar.bat文件,copy如下命令,将soanr.bat放入项目sln目录中,双击运行即可
echo offc:\sonar\SonarScanner.MSBuild.exe begin /k:"项目名称需要替换" /d:sonar.host.url="http://localhost:9000" /d:sonar.login="项目Key,创建项目时生成,需要复制"::编译代码 set "msbuildPath=" set "msbuildPath14=%ProgramFiles(x86)%\MSBuild\14.0\Bin\MSBuild.exe" set "msbuildPath15=%ProgramFiles(x86)%\Microsoft Visual Studio\2017\Enterprise\MSBuild\15.0\Bin\msbuild.exe" if exist "%msbuildPath14%" set "msbuildPath=%msbuildPath14%" if exist "%msbuildPath15%" set "msbuildPath=%msbuildPath15%" if "%msbuildPath%" == "" goto nomsbuild "%msbuildPath%" /t:Rebuildc:\sonar\SonarScanner.MSBuild.exe end /d:sonar.login="d8fb95b33c46b1a755e9f93ca0ee62e7bb36591b"echo 扫描完成 pause:nomsbuild echo 没有找到MSBUILD pause:exit
代码 安全扫描 Sonar 安装使用相关推荐
- Java代码质量监控工具Sonar安装
1. 代码质量七宗罪 Sonar是一个代码质量管理系统.它的帮助文档开篇明义,提出了代码质量的七宗罪.总结的比較到位.最好还是一看: 1. Bug和隐藏Bug(Bugs and Pot ...
- Docker、Jenkins 结合 SonarQube 和 Sonar scanner 进行代码质量扫描
SonarQube是一个用于管理代码质量的开放平台,可以快速的定位代码中潜在的或者明显的错误.目前支持java,C#,C/C++,Python,PL/SQL,Cobol,JavaScrip,Groov ...
- 代码静态扫描工具sonar介绍
一.SonarQube整体介绍 SonarQube为静态代码检查工具,采用B/S架构,帮助检查代码缺陷,改善代码质量,提高开发速度,通过插件形式,可以支持Java.C.C++.JavaScripe等等 ...
- idea中配置Soanr在线扫描代码,通过Sonar对代码进行规范
idea中配置Soanr在线扫描代码 1.使用背景: 开发完成的代码会有代码审查人员通过Alibaba规约或者Sonar对代码进行审查,查看代码是否有漏洞及不合规范的地方 刚开始使用的是网上百度的So ...
- DevOps之持续集成SonarQube代码质量扫描
SonarQube是一个用于代码质量检测管理的开放平台,可以集成不同的检测工具,代码分析工具,以及持续集成工具.SonarQube 并不是简单地把不同的代码检查工具结果直接显示在 Web ...
- Jenkins之自动部署、代码安全扫描、自动化接口测试
搭建Jenkins wget -O /etc/yum.repos.d/jenkins.repo http://pkg.jenkins-ci.org/redhat/jenkins.repo rpm -- ...
- pmd代码安全扫描工具
pmd是一款开源的代码扫描工具,这里对pmd做了一些修改,加了安全相关的插件.支持的代码文件类型:java.vue.js.xml 下载链接: https://files.cnblogs.com/fil ...
- AI之Tool:GitHub Copilot(一款人工智能编程小助手—猜你想写的代码)的简介、安装、使用方法之详细攻略
AI之Tool:GitHub Copilot(一款人工智能编程小助手-猜你想写的代码)的简介.安装.使用方法之详细攻略 目录 Copilot人工智能工具的简介 1.GitHub Copilot的安全性 ...
- 阿里巴巴代码规范扫描
1.简介 接手前同事的代码一段时间了,看得我真心难受.没有注释,各种奇怪的命名,比如你能看到一个类里面出现getSetCache和getCacheSet两个方法,传参也不同,(我也不知道这个人是不是方 ...
最新文章
- R语言生存分析(survival analysis)与生存资料有关的概念详解
- node-webkit中使用sqlite3
- 二叉树的递归和非递归遍历
- vue项目中开启Eslint碰到的一些问题及其规范
- Postman接口压力测试
- mac下selenium+python环境搭建
- MyCAT与MySQL导入、导出文件
- 2022百度之星第一场初赛
- 做数据分析,别再乱用RFM模型了!
- 方正计算机如何用u盘安装系统,方正电脑用u盘装系统操作方法
- 康佳LED55K55U电视板砖的拯救历程
- 编程c语言黑与白,C语言黑与白问题
- 新版标准日本语中级_第二十七课
- 公链、私链、联盟链优缺点
- 【CV】计算机视觉领域的 GAN 模型综述论文笔记
- 哪有什么太迟,世界多的是大器晚成
- 计蒜客: 德克萨斯长角牛 (最短路)
- solr引入mysql数据库数据,出现Requests: 1, Fetched: 0, Skipped: 0, Processed: 0
- Android 字符串格式化 千位符
- python小白社区_python3+pycharm社区版小白安装步骤