苏州华克斯公司-sonarqube安全审计

sonarqube 9.3版本文档

sonarqube? 是一个自动代码---工具，用于检测代码中的错误、漏洞和代码异味。它可以与现有工作流集成，以实现跨项目分支和拉取请求的连续代码检查。

概述

开发人员在ide中开发和合并代码（蕞好使用sonarlint在编辑器中接收即时反馈），并将他们的代码签入到他们的devops平台。组织的持续集成 （ci） 工具可检出、构建和运行单元测试，集成的 sonarqube 扫描器会分析结果。扫描程序将结果发布到 sonarqube 服务器，该服务器通过 sonarqube 界面、电子邮件、ide 内通知（通过 sonarlint）以及拉取或合并请求上的修饰（使用开发人员版及更高版本时）向开发人员提供反馈。

sonarqube简介

1. sonar简介sonar是一款静态代码分析工具，支持java、python、php、javasc ript、css等25种以上的语言，而且能够集成在ide、jenkins、git等服务中，方便随时查看代码分析报告；

sonar通过配置的代码分析规则，从---性、安全性、可维护性、覆盖率、重复率等方面分析项目，风险等级从a~e划分为5个等级；

同时，sonar可以集成pmd、findbugs、checkss等插件来扩展使用其他规则来检验代码；