在软件交付测试的过程中,我们经常会使用类似sonarQube的静态代码扫描工具,以便及早发现代码中存在的问题及漏洞,从而更好的保障软件的质量。在使用sonarQube的过程中,发现还是有一些体验不太友好的地方,如配置过于繁琐,界面操作不太直观简洁等。
今天给大家推荐一款国产开源免费的代码扫描工具 - sourcefare,涵盖编码缺陷、安全漏洞、和合规性等问题扫描,支持常见的Java、JavaScript、Go等语言,工具支持一键安装零配置,操作简洁易用,本文将介绍如何快速安装配置及入门使用教程。
1、安装
私有部署版本支持多种操作系统,包括 Linux、Docker、Windows及macOS,方便团队根据自身环境灵活选择下载、安装方式。
1.1 Linux 环境
以Ubuntu为例,CentOS的下载、安装参考官方文档。
- 下载,Ubuntu安装包下载地址:sourcefare下载,或者执行如下命令在线下载安装包。
wget -O tiklab-sourcefare-1.1.1.deb https://install.tiklab.net/app/install/sourcefare/V1.1.1/tiklab-sourcefare-1.1.1.deb
- 安装,将安装包上传到服务器,使用如下命令安装,默认安装目录在/opt下。
dpkg -i tiklab-sourcefare-1.1.0.deb
- 启动,进入安装目录/opt/tiklab-sourcefare/bin目录下,执行sh startup.sh即可启动成功。
sh startup.sh
1.2 Docker 环境
- 下载,Docker安装包下载地址:sourcefare下载,或者执行如下命令在线下载安装包。
wget -O tiklab-sourcefare-1.1.1.tar.gz https://install.tiklab.net/app/install/sourcefare/V1.1.1/tiklab-sourcefare-1.1.1.tar.gz
- 安装,在执行以下命令加载镜像。
docker load -i tiklab-sourcefare-x.x.x.tar.gz
- 启动,执行以下镜像启动即可。
docker run -itd -p 8900:8900 tiklab-sourcefare-x.x.x
1.3 Windows 环境
- 下载,Windows安装包下载地址:sourcefare下载,下载Windows安装包。下载完成后,获取名为 tiklab-sourcefare-.x.x.x.exe 的可执行文件。
- 安装,双击运行可执行文件,选择安装位置并点击安装。
- 启动,点击桌面快捷方式启动 sourcefare 服务。
1.4 macOS 环境
- 下载,Mac安装包下载地址:sourcefare下载,下载Mac安装包,下载完成后,获取名为 tiklab-sourcefare-.x.x.x.dmg 的可执行文件。
- 安装,双击打开 .dmg 文件,将 sourcefare 拖入 应用程序 文件夹。
- 启动,点击 应用程序 文件夹中的 sourcefare 快捷方式启动服务。
2、登录
启动后,默认可以通过 http://ip:8900 访问,默认用户名/密码为admin/123456。
默认支持通过账号密码登录,满足基础登录需求。若需要使用企业微信、钉钉或 LDAP 等高级登录方式,可参阅TesHubo文档获取相关配置说明。
sourcefare登录页
3、配置
允许自定义端口、数据存放目录、数据库连接、数据库备份策略和统一登录设置,以满足特定个性化需求。配置文件yaml文件默认位置:
| 系统 | 默认位置 |
| Windows | 默认在安装目录 --> conf目录下application.yaml文件 |
| Mac | 默认在app下的Contents --> conf 目录下application.yaml文件 |
| Linux | 默认在/opt/tiklab-sourcefare/conf 目录下application.yaml文件 |
| Docker | 默认在镜像文件内/usr/local/tiklab-sourcefare/conf 目录下application.yaml文件 |
3.1 自定义端口
允许用户自定义应用的启动端口,以便在特定网络环境下避免端口冲突或满足其他配置需求。
端口配置
| 属性 | 说明 |
| serer.port | 系统启动的端口号(可更改)。 |
3.2 自定义数据库
支持自定义数据库连接方式,用户可以选择使用内嵌数据库或指定外部数据库地址。根据需求配置数据库连接。
数据库配置
| 属性 | 说明 |
| postgresql.embbed.enable | 是否使用内嵌数据库,true:使用 false:不使用。如果配置为false,需要把该文件中jdbc下的数据库连接信息更改为自己的数据库地址,用户名以及密码。 |
| postgresql.database | 是否使用内嵌数据库默认连接的数据库,默认为tiklab_sourcefare如果更改次默认值需要把jdbc下的数据库连接信息更改为新的数据地址。 |
| postgresql.db.port | 使用内嵌数据库的启动端口,默认为8901,如果更改需要同时把jdbc.url中的数据库连接地址端口更改。 |
| postgresql.db.username | 使用内嵌数据库的用户名,默认为postgres,如果更改需要同时把jdbc.username中的数据库连接地址用户名更改。 |
| postgresql.db.password | 使用内嵌数据库的密码,默认为darth2020,如果更改需要同时把jdbc.password中的数据库连接地址密码更改。 |
| postgresql.db.address | 使用内嵌数据库的数据库文件保存位置,默认为${DATA_HOME}/postgresql,即默认的应用数据目录下的postgresql目录。注:如果更改该目录,该路径目录必须为空目录,否则会导致数据库无法启动。 |
| jdbc.url | 默认是:jdbc:postgresql://localhost:9301/tiklab_sourcefare?stringtype=unspecified 其中 9301 为端口号,tiklab_sourcefare为数据库名字 |
| jdbc.username | 数据库登录名。 |
| jdbc.password | 数据库登录密码。 |
3.3 自定义数据目录
支持用户自定义数据存放目录的位置,帮助用户根据需要选择存储路径。
数据目录配置
| 属性 | 说明 |
| DATA_HOME | 数据文件存放地址。 |
4、快速入门
sourcefare安装结束后,登录系统进入sourcefare首页。
sourcefare首页
4.1 创建项目
sourcefare安装结束并登录后,需要创建项目来对代码扫描记录进行管理。
点击项目→添加项目,可添加公共或者私密的项目,其中公共项目所有用户可浏览,私密项目仅选择的用户可浏览。项目基本信息添加完成之后,需要选择代码扫描方式。
添加项目
| 扫描方式 | 介绍 |
| 服务器扫描(Git) | 通过与GitPuk集成,通过Git的方式克隆源码进行代码扫描。 |
| 服务器扫描(包上传) | 通过上传代码压缩包的方式克隆源码进行代码扫描。 |
| 客户端扫描 | 通过与Arbess集成,通过CICD流水线配置运行代码扫描任务。 |
4.2 扫描配置
可自定义扫描方案,目前支持检测语言Java、JavaScript、Go等。
Java扫描规则
集成了内部扫描规则集
扫描规则集
4.3 代码扫描
例如添加服务器扫描(包上传)方式的代码扫描。项目创建完成后,点击上传代码
上传代码
代码上传完成后,点击右上角扫描按钮,进行代码扫描。
代码扫描
4.4 扫描报告
扫描完成后在扫描报告页面显示代码扫描历史列表。
代码扫描报告
点击相应代码扫描编号,查看详细报告。代码扫描报告首页展示报告概览,通过扫描出的问题和设置的阈值展示代码扫描结果。
代码扫描报告概览
点击问题TAB显示当次扫描历史出的所有问题列表。点击问题编号可查看详细问题描述。
问题列表
在度量TAB可显示当前代码扫描历史的重复率、复杂度、覆盖率等报告。
代码扫描报告
欢迎去tiklab官网体验DEMO环境或者下载安装进行体验,有问题或建议可加技术交流群进行反馈,:)
扫一扫
到【灌水乐园】发言
