引入开源工具TscanCode对源代码进行静态扫描,开发人员对工具扫描的问题进行有针对性的分析及处理。 一、TScanCode安装 代码仓库为:https://github.com/Tencent/TscanCode, 我们可以自己下载下来编译, 也可以使用腾讯预编译好的可执行文件(代码仓库的 re ...
分类:
其他好文 时间:
2020-11-10 10:33:46
阅读次数:
10
https://blog.csdn.net/meng7788512/article/details/106944321 Fortify是Micro Focus旗下AST (应用程序安全测试)产品,其产品组合包括:Fortify Static Code Analyzer提供静态代码分析器(SAST), ...
分类:
其他好文 时间:
2020-06-24 16:35:53
阅读次数:
475
一、背景 为了保证外包项目的质量,我们需要搭建一个代码扫描的工具,减少人工review的工作量。 依旧是内网环境,只能通过外网docker镜像的方式把整个环境迁移到内网服务器上。 二、方法 由于新版的sonar不再支持mysql,所以我们需要使用postgresql作为替代。 因此需要使用如下两个镜 ...
分类:
其他好文 时间:
2020-06-19 13:43:37
阅读次数:
166
一、介绍「阿里云 云效」是企业级一站式DevOps平台,支持公共云、专有云和混合云多种部署形态,通过人工智能、自动化技术的应用提升开发者的研发效能,持续交付有效价值。「阿里云 云效」将于2020年4月23起开放面向企业和个人开发者的公测,,果断抢先体验一番~ 二、测评1、进入云效平台,选择新建项目! ...
分类:
其他好文 时间:
2020-05-30 10:46:59
阅读次数:
207
前提 这篇文章记录的是 服务搭建的详细过程,应用于云迁移后的 的代码扫描环节。 笔者有软件版本升级强迫症,一般喜欢使用软件的最新版本,编写此文的时候( )`SonarQube 8.3.1`。 SonarQube简介 "SonarQube" 是一个代码质量管理开放平台,它集成了数千种自动的静态代码分析 ...
分类:
其他好文 时间:
2020-05-18 00:40:31
阅读次数:
133
1、为什么要用sonarQube? 在我们的日常软件开发工作当中,随着项目时间变长,开发人员编写的代码量也会越来越多。 长此以往,会面临代码量庞大,却无法横量整体代码质量?若是要优化,也不知道如何优化。 针对这些问题,出现了各种各样的工具,比如: java语言的Checkstyle,FindBugs ...
分类:
其他好文 时间:
2020-05-14 10:56:12
阅读次数:
68
安装sonarQube平台 本文只安装sonarQube平台,并未安装sonar-scanner扫描器。 需要安装的内容: 1、jdk11(最新sonarQube要求jdk11+) 2、sonarQube平台 本文中所用到环境及安装包版本: 1、macOS Catalina 10.15.3 2、jd ...
分类:
系统相关 时间:
2020-05-13 17:13:19
阅读次数:
91
安装sonarQube平台 本文只安装sonarQube平台,并未安装sonar-scanner扫描器。 需要安装的内容: 1、jdk11(最新sonarQube要求jdk11+) 2、sonarQube平台 本文中所用到环境及安装包版本: 1、windows 10 2、jdk11 3、sonarQ ...
1、以管理员身份登陆sonarQube平台 默认的管理员用户帐号是:admin/admin 2、进入Administration选项 3、选择marketplace 4、在Plugins当中,选择All,在All中找到Chinese Pack,点击Install 5、等待安装完成,重启服务。 6、等 ...
分类:
其他好文 时间:
2020-05-13 16:44:29
阅读次数:
53
SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来欺骗数据库服务器执行非授权的任意查询,从而进一步获取相应的数据信息。 SQL注入攻击:在 post/get we ...
分类:
数据库 时间:
2020-04-20 12:08:33
阅读次数:
89
