SonarQube es un conjunto de herramientas de código abierto con interfaz web que nos ayudará a realizar análisis estáticos a nuestro código fuente con el objetivo de mejorar la calidad, solucionar errores y buscar vulnerabilidades.
Actualmente, la última versión es la 7.5, y soporta más de 25 lenguajes de programación.
🖥 1. Instalación
1.1 Descargar SonarQube Community Edition 7.5
1.2 Crea una carpeta en C:/sonarqube y copia aquí los archivos descomprimidos.
1.3 Descarga e instala Java JDK 8
1.4 Crear un archivo sonarqube.bat en el escritorio y añade lo siguiente (este archivo nos ayudará a arrancar sonarqube):
Para sistemas 32bits
C:\sonarqube\bin\windows-x86-32\StartSonar.bat
Para sistemas 64bits
C:\sonarqube\bin\windows-x86-64\StartSonar.bat
1.5 Descarga SonarQube Scanner
1.6 Crea una carpeta en C:/sonarqube/scanner y copia aquí los archivos.
1.7 Añade el directorio C:/sonarqube/scanner/bin a las variables del sistema, esto puedes hacerlo pulsando las teclas Windows + R y escribiendo:
rundll32.exe sysdm.cpl,EditEnvironmentVariables
1.8 Accede a http://localhost:9000/sessions/new con las credenciales admin/admin
📊 2. Análisis estático de proyecto
2.1 Crea una carpeta en C:/sonarqube/projects y pega aquí el código fuente de tu software.
2.3 Dentro del panel de SonarQube, en la parte superior derecha, haz click en el botón + para analizar un nuevo proyecto.
2.4 Genera el comando de ejecución del scanner de la siguiente manera:
2.5 Dentro de la carpeta del proyecto, ejecuta el comando copiado del paso anterior y deja que termine de escanear el proyecto.
2.6 Una vez finalice, puedes ver los resultados en el panel de SonarQube.
Saludos!!
Muchas gracias por el articulo. A titulo orientativo, yo indicaría la siguiente web que tiene módulos, ejemplos y demás complementos para SonarQuB. Es un software muy completo en materia de análisis de código fuente tipo estático, y ciertamente, se puede analizar vulne, errores de programación,etc usando las métricas o indicaciones de OWASP top 10, SANS Top 25, CWE, etc, asi como implementar en docker (muy util tambien).
Facilito alguna web de referencia, por si quisieras ampliar el articulo o para quien lo quiera:
https://github.com/SonarSource
https://docs.sonarqube.org/latest/user-guide/security-rules/
Un saludo
Muchas gracias por tu aporte, en cuanto tenga un momento echo un vistazo y actualizo la entrada.
Gracias de nuevo!!