穿越小说完本,小说阅读网免费小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

SonarQube檢查項(xiàng)目中是否存在秘鑰信息

持續(xù)集成和交付(CI / CD)管道旨在支持每天數(shù)以萬計的部署。生產(chǎn)部署的頻率不能以犧牲安全為代價，安全流程也需要與CI / CD管道集成在一起。這就是為什么我們在從開發(fā)到生產(chǎn)的流水線的每個步驟中都添加了持續(xù)的安全驗(yàn)證，以幫助確保我們的應(yīng)用程序始終是安全的。

創(chuàng)新互聯(lián)擁有10多年成都網(wǎng)站建設(shè)工作經(jīng)驗(yàn),為各大企業(yè)提供成都網(wǎng)站制作、成都做網(wǎng)站服務(wù)，對于網(wǎng)頁設(shè)計、PC網(wǎng)站建設(shè)（電腦版網(wǎng)站建設(shè)）、重慶APP開發(fā)、wap網(wǎng)站建設(shè)（手機(jī)版網(wǎng)站建設(shè)）、程序開發(fā)、網(wǎng)站優(yōu)化（SEO優(yōu)化）、微網(wǎng)站、域名申請等，憑借多年來在互聯(lián)網(wǎng)的打拼，我們在互聯(lián)網(wǎng)網(wǎng)站建設(shè)行業(yè)積累了很多網(wǎng)站制作、網(wǎng)站設(shè)計、網(wǎng)絡(luò)營銷經(jīng)驗(yàn)，集策劃、開發(fā)、設(shè)計、營銷、管理等網(wǎng)站化運(yùn)作于一體，具備承接各種規(guī)模類型的網(wǎng)站建設(shè)項(xiàng)目的能力。

作為管道的一部分，我們開始將SonarQube用于代碼質(zhì)量，因?yàn)镾onarQube已集成到開發(fā)人員的IDE中，所以此驗(yàn)證發(fā)生在開發(fā)人員提交其代碼之前。我們決定利用SonarQube來進(jìn)一步檢查易受攻擊的編碼模式。

在此過程中，我們使用了現(xiàn)有的出色插件，例如Java的Findsecbugs，我們從Sonar Secrets開始向開發(fā)人員提供早期反饋，提醒他們使用硬編碼憑據(jù)所帶來的安全風(fēng)險。盡早為開發(fā)人員提供反饋，使我們可以將安全控制權(quán)向左移動，從而使開發(fā)人員可以在生產(chǎn)代碼投入使用之前達(dá)到內(nèi)部定義的安全標(biāo)準(zhǔn)。

為了保護(hù)我們的用戶，合作伙伴和員工，我們的服務(wù)旨在使用加密的密鑰庫來保護(hù)所有相關(guān)的敏感數(shù)據(jù)。然后，開發(fā)人員可以使用變量在代碼中引用此數(shù)據(jù)，而不必對值進(jìn)行硬編碼。

構(gòu)建打包

SonarQube?的Sonar Secrets插件https://github.com/Skyscanner/sonar-secrets —由Skyscanner產(chǎn)品安全小組創(chuàng)建，旨在識別硬編碼的機(jī)密，例如密碼，API令牌，AWS憑證等。

 
 
 
 
  
  
  
  cd sonar-secrets/java && mvn clean package   
  
  
  cd sonar-secrets/javascript && mvn clean package

build成功會提示以下信息：

 
 
 
 
  
  
  
  ...   
  
  
  [INFO] BUILD SUCCESS   
  
  
  [INFO] ------------------------------------------------------------------------   
  
  
  [INFO] Total time: 7.065 s   
  
  
  [INFO] Finished at: 2017-10-26T05:00:33-04:00   
  
  
  [INFO] Final Memory: 23M/252M   
  
  
  [INFO] ------------------------------------------------------------------------

sonar-secrets-java-x.x.jar 在 sonar-secrets/java/target 目錄。

sonar-secrets-javascript-x.x.jar 在 sonar-secrets/javascript/target 目錄。

安裝配置

復(fù)制Jar包文件到sonarqube的插件目錄/opt/sonarqube/extensions/plugins
重啟sonarqube服務(wù)器

In startup logs you should see:

 
 
 
 
  
  
  
  ...   
  
  
  INFO  web[][o.s.s.p.ServerPluginRepository] Deploy plugin Sonar Secrets Java / x.x   
  
  
  INFO  web[][o.s.s.p.ServerPluginRepository] Deploy plugin Sonar Secrets JavaScript / x.x   
  
  
  ...

啟用 sonar-secrets-java and sonar-secrets-javascript 在 Quality Profiles。

IDE效果圖

Sonar Secrets幫助我們在檢測和防止代碼中的敏感數(shù)據(jù)泄漏方面保持主動。我們已決定將該項(xiàng)目開源，以便社區(qū)可以從這項(xiàng)技術(shù)中受益并幫助改進(jìn)它。該插件是完全可定制的，并且可以使用新規(guī)則進(jìn)行擴(kuò)展。該第一個發(fā)行版目前僅支持Java和Javascript項(xiàng)目。

文章題目：SonarQube檢查項(xiàng)目中是否存在秘鑰信息
網(wǎng)址分享：http://m.fisionsoft.com.cn/article/cojohij.html

新聞中心

構(gòu)建打包

安裝配置

IDE效果圖

其他資訊