利用SonarQube + jenkins + maven搭建代码安全审计平台

软件产品代码安全问题,一直是影响软件产品质量的重要因素,糟糕的代码质量,导致产品上线后漏洞百出,再想修补时耗时耗力。因此,在产品开发阶段引入代码安全审查,改善代码质量,减少代码安全问题,是避免产品安全漏洞比较经济有效的手段。目前国内外有许多代码审计商业产品,如Fortify、Checkmarx、360代码卫士等,价格不菲,另外也有一些以云服务方式的代码审计产品,需要代码上传到云端进行审计,存在核心代码泄露的风险。实际上,利用现有的一些开源软件组合,也能轻松实现自动化的代码安全审计。本文利用SonarQube + jenkins + maven搭建代码安全审查平台。

系统环境:centos7

1、安装Java8

  • 如果系统原有安装低版本的java,需要先卸载掉
  • 下载jdk8 ,网址:http://www.oracle.com/technetwork/java/javase/downloads/index.html
  • 上传新的jdk-8u121-linux-x64.rpm软件到/tmp,安装java
    rpm -ivh jdk-8u121-linux-x64.rpm
  • 安装完成后,使用命令 java -version确认安装成功
  • 配置JDK环境变量JDK环境变量。
    修改系统环境变量文件
    vi + /etc/profile
    向文件里面追加以下内容:
JAVA_HOME=/usr/java/jdk1.8.0_25
JRE_HOME=/usr/java/jdk1.8.0_25/jre
PATH=$PATH:$JAVA_HOME/bin:$JRE_HOME/bin
CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JRE_HOME/lib
export JAVA_HOME JRE_HOME PATH CLASSPATH

使修改生效
source /etc/profile //使修改立即生效
echo $PATH //查看PATH值

2、安装PostgreSQL9.2

  • 安装postgresql软件包
    sudo yum install postgresql-server postgresql
  • 初始化db
    sudo su - postgres
    initdb -D /var/lib/pgsql/data
  • 启动/停止服务
    systemctl status postgresql.service
    systemctl start postgresql.service
    systemctl stop postgresql.service
  • 建立用户和数据库
$ sudo su - postgres
$ psql -U postgres -W
$ Password for user postgres: postgres
postgres=# CREATE USER sunarqube WITH PASSWORD 'mypassword';
postgres=# CREATE DATABASE sonarqube OWNER sunarqube ENCODING 'UTF8';

3、安装SonarQube5.6

  • 下载SonarQube5.6,网址:https://www.sonarqube.org/downloads/
  • 解压sonarqube-5.6.6.zip,命令unzip
  • 编辑安装目录/conf/sonar.properties,配置数据库,以PostgreSQL为例
sonar.jdbc.username=sunarqube
sonar.jdbc.password=mypassword
sonar.jdbc.url=jdbc:postgresql://localhost/sonarqube
  • 启动sonarqube,服务默认启动9000端口
    ./bin/linux-x86-64/sonar.sh start
  • 浏览器打开http://x.x.x.x:9000/ ,默认管理员登录为admin/admin
  • 注意:浏览器打不开查看一下iptables防火墙拦截,postgresql数据库是否启动
  • 之后就是安装中文插件、java、python等插件,不再详述。

4、安装sonarqube-scan3.0.3

sonar.host.url=http://x.x.x.x:9000
sonar.sourceEncoding=UTF-8
  • 设置环境变量,vi /etc/profile,增加如下内容:
SONAR_SCANNER_HOME=/opt/sonar-scanner
PATH=$PATH:$JAVA_HOME/bin:$JRE_HOME/bin:$SONAR_SCANNER_HOME/bin
使修改生效
source /etc/profile   //使修改立即生效
echo $PATH   //查看PATH值

4、安装jenkins

  • 安装jenkins
sudo wget -O /etc/yum.repos.d/jenkins.repo http://pkg.jenkins-ci.org/redhat-stable/jenkins.repo
sudo rpm --import https://jenkins-ci.org/redhat/jenkins-ci.org.key
sudo yum install jenkins
  • 启动/停止jenkins服务,默认启动在8080端口
    sudo service jenkins start/stop/restart
    sudo chkconfig jenkins on
  • 打开浏览器访问http://x.x.x.x:8080 首次访问进行初始化配置,按提示操作即可

5、配置jenkins+SonarQube

  • 安装SonarQube Scanner for Jenkins插件,具体不再详述
  • 配置jenkins的全局配置,增加SonarQube servers,如下图


    图片.png
  • 其中Server authentication token的值是需要登录SonarQube的管理员账号配置界面中生成,如下图
图片.png
  • 配置jenkins的Global Tool Configuration,增加SonarQube Scanner,如下图
图片.png
  • 以上jenkins+SonarQube配置完成,在jenkins中新建一个测试项目,使用sonarqube扫描,会报Please provide compiled classes of your project with sonar.java.binaries错误,错误原因是没有再项目中找到编译的classes文件,下面安装maven解决编译问题

6、安装maven3.5

MAVEN_HOME=/opt/apache-maven
PATH=$PATH:$JAVA_HOME/bin:$JRE_HOME/bin:$SONAR_SCANNER_HOME/bin:$MAVEN_HOME/bin
使修改生效
source /etc/profile   //使修改立即生效
echo $PATH   //查看PATH值
  • 检验maven是否安装成功
    mvn -v

7、使用SonarQube + jenkins + maven进行代码安全扫描

  • 在jenkins里新建一个maven项目,如下图
图片.png
  • 源码管理可以使用git或svn,如下图
图片.png
  • 构建触发器、构建环境、bulid都默认,在bulid后增加执行sunarqube scanner操作,如下图
图片.png
  • 配置sunarqube scanner的参数,如下图
图片.png

具体scanner参数含义见以下网址:https://docs.sonarqube.org/display/SONAR/Analysis+Parameters

  • 注意:findbugs的规则检查需要编译,所以在build后执行sonarqube scanner,sonar.java.binaries配置为编译后的class文件目录
  • 配置完成后保存,开始构建,构建完成后,点击SonarQube菜单进入代码安全扫描报告,如下图
图片.png
  • SonarQube对项目代码的Bugs、漏洞等形成详细报告,供开发人员后续改进代码质量,如下图
图片.png
  • 可以查看漏洞的详细信息和代码,如下图
图片.png

通过以上开源软件组合,可以实现系统开发阶段自动化方式的代码安全审查,减少人工审查工作量,提高代码审查效率,可有效地帮助开发人员改善代码质量。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,542评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,596评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,021评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,682评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,792评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,985评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,107评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,845评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,299评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,612评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,747评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,441评论 4 333
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,072评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,828评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,069评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,545评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,658评论 2 350

推荐阅读更多精彩内容