SonarQube源码静态安全扫描工具
使用参考文章: www.toutiao.com/a6939022228…
先看上面文章,看一下基本操作
下载地址: www.sonarqube.org/downloads/
工具启动后的访问地址: http://127.0.0.1:9000
中文插件使用: github.com/xuhuisheng/…
使用gitee复制一个仓库 gitee.com/shizhaochu/…
下载到本地 git clone gitee.com/shizhaochu/…
在sonar-l10n-zh目录执行 mvn install
在target目录获取打包好的jar包放到sonarqube-8.9.1.44547\extensions\plugins目录下
然后重启工具即可
下面的1、2、3是经过各种报错,总结出来的一些前置操作
1、需要在maven的setting配置文件中做一个全局配置,把下面的配置放到你的配置文件的对应位置
<settings>
<pluginGroups>
<pluginGroup>org.sonarsource.scanner.maven</pluginGroup>
</pluginGroups>
<profiles>
<profile>
<id>sonar</id>
<activation>
<activeByDefault>true</activeByDefault>
</activation>
<properties>
<!-- Optional URL to server. Default value is http://localhost:9000 -->
<sonar.host.url>
http://127.0.0.1:9000
</sonar.host.url>
</properties>
</profile>
</profiles>
</settings>
2、还需要在项目根目录(确保项目根目录有.git,后来多试了几次,这个非必须)
如果没有就在项目根目录执行: git init
3、在项目最顶级的pom文件中加入依赖插件
<plugin>
<groupId>org.sonarsource.scanner.maven</groupId>
<artifactId>sonar-maven-plugin</artifactId>
<version>3.9.0.2155</version>
</plugin>
4、创建一个扫描项目
一、创建一个登录127.0.0.1:9000的令牌
这个令牌需要文本保存下来,因为这个只出现一次,下次你在工具里就找不到了
token:用于登录
test: 36f11edb6a821200b4f213a724c1a43a8546b442
二、分析你的项目->使用什么构建技术
java使用maven构建这里我们选maven
然后工具会提供一个命令
在我们项目的根目录执行命令
mvn clean
mvn install
mvn sonar:sonar -Dsonar.login=36f11edb6a821200b4f213a724c1a43a8546b442
等执行完即可在页面查看
