苏州华克斯信息-sonarqube静态安全扫描工具

SonarQube是什么

是一种静态代码质量分析的开源软件，主要功能如下：

SonarQube本体是底层是Java编写的，对于Java代码分析和Maven，Gradle结合相对容易

拥有大量的插件，能够进行多种编程语言的静态代码分析

能够和CI/CD环境进行集成，能够持续进行代码质量检测。同时针对代码的检测同时，能够针对代码情况进行评分和反馈。现阶段支持的CI/CD有Gitlab，Github，Jenkins等

现在有4种版本：Community版本，Developer版本，sonarqube静态安全扫描工具，Enterprise版本，中国sonarqube静态安全扫描工具，Data Center版本.

SonarQube 8.3.1安装说明（二）

4、Centos7创建新用户由于SonarQube无法用root用户启动，所以要新建用户来启动

5、修改系统配置Linux 环境要求：

vm.max_map_count 大于等于 262144

fs.file-max 大于等于 65536

你可以通过以下命令查看这些值：

1、sonarqube目录授权给sonar用户，因为后面要用sonar用户启动

2、配置连接数据库，编辑perties，放开注释修改用户、密码、数据库连接串

4、防火墙开启9000端口，用于访问SonarQube

5、启动sonarqube（启动过程大概5-6秒要等待一会才能打开网址）

Sonarqube使用简介

1.SonarQube扫描方法

Jenkins中调用

通过jenkins插件调用sonarScanner或使用Maven、Gradle等内置扫描器

依据项目需要，对代码持续扫描，并将结果推送到sonarqube 进行页面展示

SonarQube Scanner

使用scanner，通过配置文件，修改项目信息，在命令行中调用scanner工具，进行扫描，并推送给sonarqube

Maven、Gradle等内置扫描器

以maven为例，需要修改maven和sonarqube配置文件，代理商sonarqube静态安全扫描工具，在mvn编译后，使用mvn命令，进行代码扫描，并推送给sonarqube（需要编译源代码）