测试左移——代码审计SonarQube 平台搭建

最新推荐文章于 2025-02-26 23:13:39 发布
原创 最新推荐文章于 2025-02-26 23:13:39 发布 · 735 阅读 · 25 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#软件测试 #测试左移 #SonarQube #平台搭建 #自动化测试 #程序员 #职场经验

📝 面试求职: 「面试试题小程序」内容涵盖 测试基础、Linux操作系统、MySQL数据库、Web功能测试、接口测试、APPium移动端测试、Python知识、Selenium自动化测试相关、性能测试、性能测试、计算机网络知识、Jmeter、HR面试,命中率杠杠的。(大家刷起来…)

📝 职场经验干货:

软件测试工程师简历上如何编写个人信息(一周8个面试)

软件测试工程师简历上如何编写专业技能(一周8个面试)

软件测试工程师简历上如何编写项目经验(一周8个面试)

软件测试工程师简历上如何编写个人荣誉(一周8个面试)

软件测试行情分享(这些都不了解就别贸然冲了.)

软件测试面试重点,搞清楚这些轻松拿到年薪30W+

软件测试面试刷题小程序免费使用(永久使用)

01 sonarqube代码分析技术体系

代码分析工具

IDE 辅助功能

xcode、android studio

阿里巴巴 java 开发手册 ide 插件支持

独立的静态分析工具

综合性的代码分析平台

sonarqube 功能强大,数据分析全面

代码分析技术架构

代码静态检查

1、代码分析:通过分析语法树和源代码,检查代码规范

lint 系列 style 系列 pmd

antlr

2、编译器分析:借助于编译器获得代码关系

字节码静态分析

分析 jar、war、dex 等格式的文件,代表工具:findbugs asm

语法树分析技术

在这里插入图片描述

源代码

字节码分析技术 Java 与 Kotlin 源代码

在这里插入图片描述

SonarQube

代码质量和安全的领先产品

17种语言的静态代码分析

检测Bug和漏洞

查看安全热点

跟踪代码气味并修复您的技术债务

代码质量度量和历史

CI/CD集成

可扩展,具有50多个社区插件

在这里插入图片描述

代码分析主要指标

在这里插入图片描述

代码分析细节指标

在这里插入图片描述

度量指标总结

可靠性 bugs

可维护性 code smells

安全性 Vulnerabilities Security Hotspots

覆盖率 Coverage Unit Tests

代码重复

代码规模 Lines of Code Comments rate

复杂度 Cyclomatic Complexity Cognitive Complexity

在这里插入图片描述

案例分析

1、独立分析平台使用案例

在这里插入图片描述

2、持续集成使用案例

在这里插入图片描述

3、Sonarqube经典案例分析

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

目前大部分公司都采用了 sonarqube,它的概念和技术指标已经成为行业事实上的标准

02 代码审计SonarQube平台搭建

sonarqube 技术架构

在这里插入图片描述

正式环境部署

1.创建网络

在这里插入图片描述

2.创建数据库容器实例

e POSTGRES_USER=sonarqube:设置数据库用户名

-e POSTGRES_PASSWORD=sonarqube:设置数据库密码

-e PGDATA=/var/lib/postgresql/data/pgdata:指定数据库的位置

-v $PWD/postgresql_data:/var/lib/postgresql/data:把数据映射到当前目录下的postgresql_data中:即使容器销毁了,重新创建一个,数据不会丢

在这里插入图片描述

3、创建sonarqube容器实例

创建sonarqube容器实例,可以通过-Xms4g -Xmx4g增加下ES的堆内存大小

mac环境需要加 -e SONAR_SEARCH_JAVAADDITIONALOPTS=“-Dbootstrap.system_call_filter=false”

platform linux/x86_64:在mac上需要加这条命令

-e SONARQUBE_JDBC_USERNAME=sonarqube

-e SONARQUBE_JDBC_PASSWORD=sonarqube \:设置数据库的用户名和密码

-v $PWD/sonarqube_data:/opt/sonarqube/data

-v $PWD/sonarqube_extensions:/opt/sonarqube/extensions

-v $PWD/sonarqube_logs:/opt/sonarqube/logs \:宿主机和容器映射

在这里插入图片描述

4、检查容器启动成功

[root@mylinux1 ~]# docker ps
CONTAINER ID   IMAGE                       COMMAND                   CREATED              STATUS              PORTS                                                                                  NAMES
de81187b3504   sonarqube:8.9.2-community   "bin/run.sh bin/sona…"   About a minute ago   Up About a minute   0.0.0.0:9000->9000/tcp, :::9000->9000/tcp, 0.0.0.0:9092->9092/tcp, :::9092->9092/tcp   sonarqube_hogwarts
532e9ed4212d   postgres                    "docker-entrypoint.s…"   9 minutes ago        Up 9 minutes        5432/tcp                                                                               sonarqube_postgres
60ed0289df5b   registry:2                  "/entrypoint.sh /etc…"   4 months ago         Up 42 hours         0.0.0.0:5000->5000/tcp, :::5000->5000/tcp

5、环境配置

默认账号 admin:admin

生成 token

划分组与用户

登录页面

在这里插入图片描述

首页

在这里插入图片描述

projects:项目列表(大部分项目是自动创建)

issues:发现的问题

rules:制定的规则

quality profiles::定制规则

quality gates:质量门禁

administration:管理

6、环境变量设置

为了方便命令复用,后面命令中可变内容使用环境变量来表示 $SQ_HOST

在这里插入图片描述

最后: 下方这份完整的软件测试视频教程已经整理上传完成,需要的朋友们可以自行领取 【保证100%免费】
在这里插入图片描述
在这里插入图片描述

从0到1搭建企业AI安全合规体系:AI应用架构师拆解阿里_腾讯的6个核心实践
AI天才研究院
07-31 952
AI的核心是数据,数据安全是AI安全的基石。这些实践不是空泛的理论,而是经过亿级用户场景验证、能直接落地的方法论——从合规基线构建到数据安全治理,从算法风险管控到全生命周期安全运营,带你一步步搭建“能落地、可执行、防风险”的AI安全合规体系。但现实是,多数企业对“AI安全合规”仍停留在“头痛医头、脚痛医脚”的阶段:要么照搬互联网大厂的“高大上”框架,落地时发现“水土不服”;阿里/腾讯的算法安全管控核心是**“可解释性+公平性+鲁棒性”三位一体**:让算法“透明可解释”“公平无偏见”“抗攻击鲁棒”。
SonarQube入门 - 搭建本地环境
qq_44376306的博客
08-02 1513
简单来说,ESLint主要用于JavaScript/TypeScript的语法和风格检查,强调的是实时反馈;而SonarQube是一种多语言支持,更全面的代码质量管理工具,强调的是代码质量的长期跟踪和管理。的核心元素 ,SonarQube 集成到您现有的工作流程中并检测代码中的问题,以帮助您对项目执行持续的代码检查。是一种自我管理的自动代码审查工具,可以系统地帮助您交付。浏览 SonarQube (默认系统管理员凭据是。中 ,以确保您的代码符合高质量标准。
sonarqube扫描平台搭建
qq_26875163的博客
02-15 2080
SonarQube为静态代码检查工具,是管理代码质量一个开放平台,可以快速的定位代码中潜在的或者明显的错误。采用B/S架构,帮助检查代码缺陷,改善代码质量,提高开发速度,通过插件形式,可以支持Java、C、C++、JavaScripe等等二十几种编程语言的代码质量管理与检测。
代码审计平台sonarqube的安装及使用
好多可乐的博客
05-07 1605
【代码】docker搭建代码审计平台sonarqube
sonarqube安装指南
sunican的专栏
06-29 1624
SonarQube Server对系统的JDK、和研发写代码所使用的JDK版本有要求,要求大版本统一,比如大家基本上都在用JDK8,就不要部署JDK11或者JDK17版本的SonarQube Server,这一点对于用Docker部署的Server来说尤其要注意。在自己虚拟机上实验的时候多次没有部署成功,遇到了各种错误,基本就是这个原因。这里,说了JDK版本与Server版本、还有数据库版本的对应关系。sonarQube安装的指导文章说起来有很多,其他步骤本文不再赘述,可以参考其他文章。
SonarQube代码审计平台搭建
Tison的博客
04-14 1518
1 概述 SonarQube是一个开源平台,用于管理源代码得质量。SonarQube不只是一个质量数据报告工具,更是代码质量管理平台。 支持java, C#, C/C++, PL/SQL, Cobol, JavaScrip, Groovy 等等二十几种编程语言的代码质量管理与检测。 SonarQube可以从以下七个维度检测代码质量,而作为开发人员至少需要处理前5种代码质量问题。 (1) 不遵循代...
SonarQube代码审计
最新发布
qq_62554190的博客
02-26 802
SonarQube代码审计
SonarQube自定义规则开发指南与实践
资源摘要信息:"本文档《代码审计工具:SonarQube自定义规则开发》系统性地阐述了如何基于SonarQube平台进行自定义代码质量与安全规则的开发,旨在提升企业在软件开发生命周期中对代码缺陷、安全漏洞和规范合规性的...
嵌入式单元测试新范式:用Pytest重构C代码测试流程的5大颠覆性优势
![嵌入式单元测试新范式:用Pytest重构C代码测试流程的5大颠覆性优势]...传统C语言测试框架(如CuTest、Unity)虽能实现基本断言功能,但在跨平台兼容性、测试用例组织灵活性和资源自动化管理方面存在明显短
从0到1搭建嵌入式自动化测试环境:主机仿真与目标机协同实战(稀缺全流程曝光)
[从0到1搭建嵌入式自动化测试环境:主机仿真与目标机协同实战(稀缺全流程曝光)](https://www.zucisystems.com/wp-content/uploads/2023/01/test-automation_framework-Zuci-1024x545.png) # 1. 嵌入式自动化测试...
代码扫描平台SonarQube搭建保姆级教程
东皋长歌的专栏
07-28 2892
代码扫描工具SonarQube,想必大家也有了解,就是那种不明觉厉的存在,最近刚好有需求,需要自己搭建,下面就给大家记录下搭建的过程。不了解的,可以先看看有一个初步认识。话不多说,开干!
Sonarqube搭建和使用入门
hua_12369b的博客
10-21 5145
sonarqube的插件市场在线或者离线安装PMD、CheckStyle等代码检查插件,具体步骤在第一部分已经说过了。然后质量配置 > 创建,填写新的质量配置内容如下:新建质量配置如果需要继承系统默认的检查规则,则上级可以选择默认的Sonar way。然后就进入该新的质量配置界面,可以看到左边规则面板上,所有规则都是未激活状态,此时我们就可以自定义需要激活哪些规则。
自动化代码质量检测平台sonarqube搭建及使用,以及集成gitlab ci提交自动返回结果
03-14 1万+
Sonar (SonarQube)是一个开源平台,用于管理源代码的质量。Sonar 不只是一个质量数据报告工具,更是代码质量管理平台。支持java, JavaScrip, Scala 等等二十几种编程语言的代码质量管理与检测。SonarQube®是一种自动代码审查工具,用于检测代码中的错误,漏洞和代码异味。它可以与您现有的工作流程集成,以便在项目分支和拉取请求之间进行连续的代码检查。原理架构,这里不多说了,网上一大把,咱们直接开干就完了。
sonarqube搭建超级完整版
mingqing的博客
03-31 1282
Sonar (SonarQube)是一个开源平台,用于管理源代码的质量。Sonar 不只是一个质量数据报告工具,更是代码质量管理平台。支持java, JavaScrip, Scala 等等二十几种编程语言的代码质量管理与检测。SonarQube®是一种自动代码审查工具,用于检测代码中的错误,漏洞和代码异味。它可以与您现有的工作流程集成,以便在项目分支和拉取请求之间进行连续的代码检查。
代码质量管理平台 SonarQube 社区版搭建及 C 代码分析
王清欢的博客
01-31 8405
本文介绍如何在 CentOS 环境下搭建代码质量管理平台 SonarQube 社区版,并使用 PostgreSQL 数据库作为其后端数据库;同时,详细说明了如何配置 SonarQube 并使用 sonar-cxx 开源插件进行 C 语言系列项目的静态代码分析。
看这里,全网最详细的Sonar代码扫描平台搭建教程
热门推荐
公众号:【伤心的辣条】
08-17 1万+
官网:https://www.sonarqube.org/ 1.sonar简介 sonar是一款静态代码质量分析工具,支持Java、Python、PHP、JavaScript、CSS等25种以上的语言,而且能够集成在IDE、Jenkins、Git等服务中,方便随时查看代码质量分析报告。 sonar通过配置的代码分析规则,从可靠性、安全性、可维护性、覆盖率、重复率等方面分析项目,风险等级从A~E划分为5个等级; 同时,sonar可以集成pmd、findbugs、checkstyle等插件来扩展使用其他规则来.
Ubuntu上搭建Sonar Qube(developer版)服务器
lisong315389的博客
01-11 3070
SonarQube开发版服务器搭建
SonarQube环境搭建
qq_43171070的博客
04-08 2198
Sonar环境搭建配置 平台:VMware Workstation Pro 资源包:sonarqube-7.9.5 SonarQube是一个基于开源的Web工具,用于管理代码质量以及代码分析。它最广泛的用于连续的代码检查,他会检测编程语言的错误,代码的漏洞的问题。支持多种语言的检测。 在高版本的SonarQube中已经不在支持Mysql数据库了,在此我们使用PostgreSQL10数据库。 预先配置环境 首先在当前会话中断执行以下命令。 sudo sysctl -w vm.m
SonarQube代码扫描平台搭建与配置详解
本文标题“Sonar代码扫描平台搭建教程[可运行源码]”明确指出了其核心内容是关于如何从零开始部署和配置一个可实际运行的SonarQube平台,并提供配套的源码资源以供实践操作。结合描述部分的信息,该教程系统性地涵盖...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值