Mia专栏

此类型的报告，我写的有几个了，但一直都不太满意，这次因为看见了网上的一篇样式，就又重新写了一版。不算抄袭，因为语言都不同效果图：用到的查询：package com.pconlineqa.sonarapi.dao;import com.pconlineqa.sonarapi.entity.Issues;import org.springframework.data.jpa.repository.JpaRepository;import org.springframework.data.jpa

本篇文章主要围绕对sonar-pmd-p3c插件的解析版本说明组件版本sonarqube8.4sonar-pmd-p3c.jar3.2.1pmd-java6.15.0p3c-pmd2.1.0开源基础说明https://github.com/alibaba/p3c.githttps://github.com/pmd/pmd.githttps://github.com/jensgerdes/sonar-pmd.githttps://github.c

背景今天接到开发经理的报障，说他的gitlab帐户登陆sonar报错you’re not authorized to access this page.Please contact the administrator这是当时做sonarqube集成gitlab身份验证的时候遗留的问题，当时我也有发现，但没管它，没想到今天爆了这个领导很较真，我对他又喜又气的，喜他不断促我进步，气他太纠针了。## 分析通过分析，发现只有管理员权限，才会登陆有异常。当时我做集成的时候，也是用的管理员权限。这不禁让

背景我这个应用超大，我不说具体多少个jsp了，总之扫描后，jsp-xss漏洞共14K。大家想想有多少。报错信息INFO: Loading findbugs plugin: /home/tomcat/.jenkins/jobs/sonar_pocket/workspace/.scannerwork/findbugs/findsecbugs-plugin.jarINFO: Findbugs output report: /home/tomcat/.jenkins/jobs/sonar_pocket/

背景我用jenkins做代码扫描，代码仓库在私有gitlab上，构建时要拉代码下来编译，需要添加相应凭证打开我的jenkins 管理员帐户登陆打开凭证管理页面路径：首页-Manage Jenkins-Manage Credentials可以看见所有的凭证信息我这里进入，没有看见add入口，如果没有add入口，可以随意点击一个凭证进入详情页。例：然后点击上一级栏目【全局凭据 (unrestricted)】进入，此页面有add入口添加凭证...

问题背景sonar扫描使用的规则：FindBugs Security JSP符合过滤规则：但是以上这个规则，扫不出jsppage_top.jsp，<script> window._common_counter_code_ = "channel=${param.channelId}"; window._common_counter_uuid_ = "${param.uuid}"; window._common_counter_from_ = "";// 如果是c

ElasticHD工具安装https://github.com/360EntSecGroup-Skylar/ElasticHD/releases/tag/1.4[root@52-118 PRG]# ll总用量 38632-rwxrwxrwx. 1 root root 22772813 6月 17 2017 ElasticHDdrwxrwxrwx. 9 root root 4096 12月 10 14:26 ElasticHD-1.4-rw-r--r--. 1 root root 103

这个需求源于我最近在推代码扫描，需要开发去使用，而且扫出来的问题，要推着他们确认及修复，但可想而知，在这个部门，什么事都被政治化了，很难推动别人做事。开发招了一个背景据说很强大的经理，不杂懂技术，但能说(除了开发技能以外)会写(报告)，这个经理是非常推崇质量平台，但奈何改BUG不是他亲自动手，各种原由导致他也推不下去，但是即使他推不下去，他对我这个质量平台的要求却很高，那一天，他提出了一个问题：当gitlab有新增应用的时候，你这边怎么能及时加上扫描？我说：这个问题问的好，我看一下gitlab和so.

sonar-bugs数据库是有统计的，但是查询的话，也不如api来的方便。sonar-api入口，我就不再说了，里面有很多接口，我是翻了一遍，其中post多用于与其它第三方应用做webhooks的时候，可能会比较方便做自动化，get多用于查询数据报告结果请憋住指责，我们这个这么多问题，是因为质量真的很差，举个例子：一个周期3周的项目，手工进行功能测试至少是150个BUG起步。有多差，靠想象sonar-apiAuthorization接口调用要进行身份验证，使用postman生成Authori.

我们工作的时候，经常会遇见从表面日志中看不出任何的错，或者说一堆error但看上几眼，仍然无头绪的错，例如这一个：pipline-job构建时报错java.lang.IllegalStateException: Unrecoverable indexation failures: 1 errors among 1 requests淡定，当你尝试以下方法查找原因失败后 后台日志sonar.log 后台日志web.log 其它有的没的日志文件全部看了一遍，发现无论如何，以自己的功力都无法定位

sonarqube我还没有研究透彻，技术太菜了，还无法深入原理去分析源代码，只是从外面知道sonar-scanner扫描会先经过ES，再传结果给sonarqube界面显示。我的问题是：我要获取安全热点中高中低等级的所有问题及数据，统计出结果给上面看。需求分析 数据库中直接查询 issues表中数据的severity与实际问题等级不相符 ES结果分析自己对ES处理逻辑知之甚少，现学恐怕是来不及了 selenium爬界面数据做了哪些工作静默后台形式运行chromeDriver .

要求，说要定期收到扫描问题报告，只是单纯想要个报告，报告具体需要什么，只要有就好了！实现技术springboot+jpa+pgsqlsonar-api扩展html统计内容表格sendmaillinux定时任务需求 完成代码扫描总体报告 完成安全问题统计报告 部署定时任务，每周五下午定时发送结果扫描总体报告安全报告 ...

官方操作手册预置条件增加gitlab身份验证,需要qa@pconline.com.cn是管理员权限gitlab增加applicationhttps://git.pc.com.cn/oauth/applications/个人设置-应用-创建 新应用名称：SonarQubeRedirect URI：https://sonar.pc.com.cn/oauth2/callback/gitlab勾选api及read_user记录应用程序ID、密码等信息，sonar中设置要填写。sonar设置

背景​ 搞了3个月代码扫描，刚刚搞定安全热点问题的筛选与确认，接下来准备搞java规约扫描的问题分析，但是看着扫出来动不动10K以上的那些项目，真是心塞，是规则太严格，还是误报？分析了几个rule发现真正开发很少有按标准的写法，这不行啊，那以后开发将是一件很痛苦的事，正好领导发了阿里的开发指南，正好把阿里的P3C给弄上扫描平台，只用扫这些规则即可满足现阶段的要求。相关资料阿里p3c规范sonar集成插件关于集成插件这个，github上有很多个人开发的集成插件，有些提供jar包直接下载可以