软件产品代码安全问题，一直是影响软件产品质量的重要因素，糟糕的代码质量，导致产品上线后漏洞百出，再想修补时耗时耗力。因此，在产品开发阶段引入代码安全审查，改善代码质量，减少代码安全问题，是避免产品安全漏洞比较经济有效的手段。目前国内外有许多代码审计商业产品，如Fortify、Checkmarx、360代码卫士等，价格不菲，另外也有一些以云服务方式的代码审计产品，需要代码上传到云端进行审计，存在核心代码泄露的风险。实际上，利用现有的一些开源软件组合，也能轻松实现自动化的代码安全审计。本文利用SonarQube + jenkins + maven搭建代码安全审查平台。

系统环境：centos7

1、安装Java8

• 如果系统原有安装低版本的java，需要先卸载掉
• 下载jdk8 ，网址:http://www.oracle.com/technetwork/java/javase/downloads/index.html
• 上传新的jdk-8u121-linux-x64.rpm软件到/tmp，安装java
  rpm -ivh jdk-8u121-linux-x64.rpm
• 安装完成后，使用命令 java -version确认安装成功
• 配置JDK环境变量JDK环境变量。
  修改系统环境变量文件
  vi + /etc/profile
  向文件里面追加以下内容：

JAVA_HOME=/usr/java/jdk1.8.0_25
JRE_HOME=/usr/java/jdk1.8.0_25/jre
PATH=$PATH:$JAVA_HOME/bin:$JRE_HOME/bin
CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JRE_HOME/lib
export JAVA_HOME JRE_HOME PATH CLASSPATH

使修改生效
source /etc/profile //使修改立即生效
echo $PATH //查看PATH值

2、安装PostgreSQL9.2

• 安装postgresql软件包
  sudo yum install postgresql-server postgresql
• 初始化db
  sudo su - postgres
  initdb -D /var/lib/pgsql/data
• 启动/停止服务
  systemctl status postgresql.service
  systemctl start postgresql.service
  systemctl stop postgresql.service
• 建立用户和数据库

$ sudo su - postgres
$ psql -U postgres -W
$ Password for user postgres: postgres
postgres=# CREATE USER sunarqube WITH PASSWORD 'mypassword';
postgres=# CREATE DATABASE sonarqube OWNER sunarqube ENCODING 'UTF8';

3、安装SonarQube5.6

• 下载SonarQube5.6，网址：https://www.sonarqube.org/downloads/
• 解压sonarqube-5.6.6.zip，命令unzip
• 编辑安装目录/conf/sonar.properties，配置数据库，以PostgreSQL为例

sonar.jdbc.username=sunarqube
sonar.jdbc.password=mypassword
sonar.jdbc.url=jdbc:postgresql://localhost/sonarqube

• 启动sonarqube，服务默认启动9000端口
  ./bin/linux-x86-64/sonar.sh start
• 浏览器打开http://x.x.x.x:9000/ ,默认管理员登录为admin/admin
• 注意：浏览器打不开查看一下iptables防火墙拦截，postgresql数据库是否启动
• 之后就是安装中文插件、java、python等插件，不再详述。

4、安装sonarqube-scan3.0.3

• 下载sonarqube-scan3.0.3，网址：https://sonarsource.bintray.com/Distribution/sonar-scanner-cli/sonar-scanner-cli-3.0.3.778-linux.zip
• 解压到/opt/sonar-scanner目录，进入conf目录，vi sonar-scanner.properties，更改配置为:

sonar.host.url=http://x.x.x.x:9000
sonar.sourceEncoding=UTF-8

• 设置环境变量，vi /etc/profile，增加如下内容：

SONAR_SCANNER_HOME=/opt/sonar-scanner
PATH=$PATH:$JAVA_HOME/bin:$JRE_HOME/bin:$SONAR_SCANNER_HOME/bin

使修改生效
source /etc/profile   //使修改立即生效
echo $PATH   //查看PATH值

4、安装jenkins

• 安装jenkins

sudo wget -O /etc/yum.repos.d/jenkins.repo http://pkg.jenkins-ci.org/redhat-stable/jenkins.repo
sudo rpm --import https://jenkins-ci.org/redhat/jenkins-ci.org.key
sudo yum install jenkins

• 启动/停止jenkins服务，默认启动在8080端口
  sudo service jenkins start/stop/restart
sudo chkconfig jenkins on
• 打开浏览器访问http://x.x.x.x:8080 首次访问进行初始化配置，按提示操作即可

5、配置jenkins+SonarQube

• 安装SonarQube Scanner for Jenkins插件，具体不再详述

• 配置jenkins的全局配置，增加SonarQube servers，如下图

  
  
  图片.png
• 其中Server authentication token的值是需要登录SonarQube的管理员账号配置界面中生成，如下图

图片.png

• 配置jenkins的Global Tool Configuration，增加SonarQube Scanner，如下图

图片.png

• 以上jenkins+SonarQube配置完成，在jenkins中新建一个测试项目，使用sonarqube扫描，会报Please provide compiled classes of your project with sonar.java.binaries错误，错误原因是没有再项目中找到编译的classes文件，下面安装maven解决编译问题

6、安装maven3.5

• 下载maven3.5，网址：http://maven.apache.org/download.cgi
• tar -xvf apache-maven-3.5.0-bin.tar.gz解压到/opt目录
• 设置环境变量，vi /etc/profile，

MAVEN_HOME=/opt/apache-maven
PATH=$PATH:$JAVA_HOME/bin:$JRE_HOME/bin:$SONAR_SCANNER_HOME/bin:$MAVEN_HOME/bin

使修改生效
source /etc/profile   //使修改立即生效
echo $PATH   //查看PATH值

• 检验maven是否安装成功
  mvn -v

7、使用SonarQube + jenkins + maven进行代码安全扫描

• 在jenkins里新建一个maven项目，如下图

图片.png

• 源码管理可以使用git或svn，如下图

图片.png

• 构建触发器、构建环境、bulid都默认，在bulid后增加执行sunarqube scanner操作，如下图

图片.png

• 配置sunarqube scanner的参数，如下图

图片.png

具体scanner参数含义见以下网址：https://docs.sonarqube.org/display/SONAR/Analysis+Parameters

• 注意：findbugs的规则检查需要编译，所以在build后执行sonarqube scanner，sonar.java.binaries配置为编译后的class文件目录
• 配置完成后保存，开始构建，构建完成后，点击SonarQube菜单进入代码安全扫描报告，如下图

图片.png

• SonarQube对项目代码的Bugs、漏洞等形成详细报告，供开发人员后续改进代码质量，如下图

图片.png

• 可以查看漏洞的详细信息和代码，如下图

图片.png

通过以上开源软件组合，可以实现系统开发阶段自动化方式的代码安全审查，减少人工审查工作量，提高代码审查效率，可有效地帮助开发人员改善代码质量。