概述
SonarQube™的Sonar Secrets插件https://github.com/Skyscanner/sonar-secrets —由Skyscanner产品安全小组创建,旨在识别硬编码的机密,例如密码,API令牌等。当前仅支持Java和Javascript。
下载编译打包
下载并编译插件:
git clone git@github.com:Skyscanner/sonar-secrets.git
cd sonar-secrets/java && mvn clean package
cd sonar-secrets/javascript && mvn clean package
打包成功后,
sonar-secrets-java-x.x.jar 在 sonar-secrets/java/target 目录。
sonar-secrets-javascript-x.x.jar 在 sonar-secrets/javascript/target 目录。
配置
复制Jar包文件到sonar的插件目录/opt/sonarqube/extensions/plugins,重启sonar服务器,再启动日志中你会发现:
...
INFO web[][o.s.s.p.ServerPluginRepository] Deploy plugin Sonar Secrets Java x.x
INFO web[][o.s.s.p.ServerPluginRepository] Deploy plugin Sonar Secrets JavaScript x.x
...
启用 sonar-secrets-java and sonar-secrets-javascript 在 Quality Profiles。
科普内容:
Sonar是一个用于代码质量管理的开源平台,用于管理Java源代码的质量。通过插件机制,Sonar 可以集成不同的测试工具,代码分析工具,以及持续集成工具,比如pmd-cpd、checkstyle、findbugs、Jenkins。通过不同的插件对这些结果进行再加工处理,通过量化的方式度量代码质量的变化,从而可以方便地对不同规模和种类的工程进行代码质量管理。同时 Sonar 还对大量的持续集成工具提供了接口支持,可以很方便地在持续集成中使用 Sonar。此外,Sonar 的插件还可以对 Java 以外的其他编程语言提供支持,对国际化以及报告文档化也有良好的支持。
关于关注我
文章转载自独行高飞,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
