sonarqube安全审计-苏州华克斯公司

Sonarqube权限配置

禁止游客访问

全局权限设置（禁止匿名用户权限、用户组全局权限设置）

权限模板设置，即项目权限设置。

默认质量阀设置，没有质量阈值的项目默认采用此设置。

自定义质量阀，可以选择适用于哪些项目。

Sonarqube质量配置

这里以 Java 语言为例说明，sonarqube安全审计，如下是 Sonar 内置默认的质量配置（规则集合）。

规则可以根据需要进行设置，还可以选择自定义的 PMD、Checkstyle 规则配置文件。

修改自定义配置为默认。

另外，还可以或者挂起规则，注意继承的规则不可挂起。

Sonarqube集成

下面是SonarQube与其他sonarqube ALM工具如何集成以及SonarQube各种组件在何处被使用。

1）开发在IDE开发代码并使用sonarlint运行本地分析

2）开发把代码提交到SCM工具中：git，中国sonarqube安全审计， SVN，中国sonarqube安全审计， TFVC，代理商sonarqube安全审计， ...

3）持续集成服务器触发自动编译以及执行SonarQubeScanner

4)SonarQubeServer 处理分析报告

5)SonarQubeServer 处理并存贮分析报告到数据库里并在页面上显示处理结果.

6)开发审查解决他们的问题，在页面管理问题

7)管理者获得分析报告

Ops 可以使用API从 SonarQube抽取数据

Ops 可以使用 JMX 监控 SonarQubeServer.

SonarQube使用流程

使用流程图

1、开发负责人获取蕞新代码到本地；

2、开发负责人执行sonar-runner开始代码分析工作；

3、开发负责人将分析出来的issue指派给开发人员；

4、开发人员修复issue；

5、开发负责人重新获取蕞新源码，重新执行sonar-runner，检查issue的修复情况。