SonarQube检查项目中是否存在秘钥信息

持续集成和交付(CI / CD)管道旨在支持每天数以万计的部署。生产部署的频率不能以牺牲安全为代价,安全流程也需要与CI / CD管道集成在一起。这就是为什么我们在从开发到生产的流水线的每个步骤中都添加了持续的安全验证,以帮助确保我们的应用程序始终是安全的。

创新互联拥有10多年成都网站建设工作经验,为各大企业提供成都网站制作、成都做网站服务,对于网页设计、PC网站建设(电脑版网站建设)、重庆APP开发、wap网站建设(手机版网站建设)、程序开发、网站优化(SEO优化)、微网站、域名申请等,凭借多年来在互联网的打拼,我们在互联网网站建设行业积累了很多网站制作、网站设计、网络营销经验,集策划、开发、设计、营销、管理等网站化运作于一体,具备承接各种规模类型的网站建设项目的能力。

作为管道的一部分,我们开始将SonarQube用于代码质量,因为SonarQube已集成到开发人员的IDE中,所以此验证发生在开发人员提交其代码之前。我们决定利用SonarQube来进一步检查易受攻击的编码模式。

在此过程中,我们使用了现有的出色插件,例如Java的Findsecbugs,我们从Sonar Secrets开始向开发人员提供早期反馈,提醒他们使用硬编码凭据所带来的安全风险。尽早为开发人员提供反馈,使我们可以将安全控制权向左移动,从而使开发人员可以在生产代码投入使用之前达到内部定义的安全标准。

为了保护我们的用户,合作伙伴和员工,我们的服务旨在使用加密的密钥库来保护所有相关的敏感数据。然后,开发人员可以使用变量在代码中引用此数据,而不必对值进行硬编码。

构建打包

SonarQube™的Sonar Secrets插件https://github.com/Skyscanner/sonar-secrets —由Skyscanner产品安全小组创建,旨在识别硬编码的机密,例如密码,API令牌,AWS凭证等。

 
 
 
 
    
  
  
  
  
  1. cd sonar-secrets/java && mvn clean package 
    2.   
  
  
  
  2. cd sonar-secrets/javascript && mvn clean package 
    3.

build成功会提示以下信息:

 
 
 
 
    
  
  
  
  
  1. ... 
    2.   
  
  
  
  2. [INFO] BUILD SUCCESS 
    3.   
  
  
  
  3. [INFO] ------------------------------------------------------------------------ 
    4.   
  
  
  
  4. [INFO] Total time: 7.065 s 
    5.   
  
  
  
  5. [INFO] Finished at: 2017-10-26T05:00:33-04:00 
    6.   
  
  
  
  6. [INFO] Final Memory: 23M/252M 
    7.   
  
  
  
  7. [INFO] ------------------------------------------------------------------------ 
    8.

sonar-secrets-java-x.x.jar 在 sonar-secrets/java/target 目录。

sonar-secrets-javascript-x.x.jar 在 sonar-secrets/javascript/target 目录。

安装配置

  • 复制Jar包文件到sonarqube的插件目录/opt/sonarqube/extensions/plugins
  • 重启sonarqube服务器

In startup logs you should see:

 
 
 
 
    
  
  
  
  
  1. ... 
    2.   
  
  
  
  2. INFO  web[][o.s.s.p.ServerPluginRepository] Deploy plugin Sonar Secrets Java / x.x 
    3.   
  
  
  
  3. INFO  web[][o.s.s.p.ServerPluginRepository] Deploy plugin Sonar Secrets JavaScript / x.x 
    4.   
  
  
  
  4. ... 
    5.

启用 sonar-secrets-java and sonar-secrets-javascript 在 Quality Profiles。

IDE效果图

Sonar Secrets帮助我们在检测和防止代码中的敏感数据泄漏方面保持主动。我们已决定将该项目开源,以便社区可以从这项技术中受益并帮助改进它。该插件是完全可定制的,并且可以使用新规则进行扩展。该第一个发行版目前仅支持Java和Javascript项目。

当前题目:SonarQube检查项目中是否存在秘钥信息
转载来于:http://www.mswzjz.com/qtweb/news22/181972.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联

猜你还喜欢下面的内容

营销型网站建设知识

行业网站建设

成都棕树机房    重庆企业网站建设    成都户外广告牌设计    成都广告招牌制作    腾讯云香港虚拟主机    大英泰恒网站    成都花箱厂家    成都成品网站    彭州网站建设    内江服务器托管    成都网站制作    资阳网站建设    四川胜锦安防    香港主机    乐山中领科信    成都包装盒设计    成都画册设计公司    IDC机房托管    德阳东方电机技改服务有限公司    成都移动服务器托管