Análisis estático de código fuente con SonarQube

SonarQube es un conjunto de herramientas de código abierto con interfaz web que nos ayudará a realizar análisis estáticos a nuestro código fuente con el objetivo de mejorar la calidad, solucionar errores y buscar vulnerabilidades.

Actualmente, la última versión es la 7.5, y soporta más de 25 lenguajes de programación.

 

🖥 1. Instalación

1.1 Descargar SonarQube Community Edition 7.5

1.2 Crea una carpeta en C:/sonarqube y copia aquí los archivos descomprimidos.

1.3 Descarga e instala Java JDK 8

1.4 Crear un archivo sonarqube.bat en el escritorio y añade lo siguiente (este archivo nos ayudará a arrancar sonarqube):

Para sistemas 32bits

C:\sonarqube\bin\windows-x86-32\StartSonar.bat

Para sistemas 64bits

C:\sonarqube\bin\windows-x86-64\StartSonar.bat

1.5 Descarga SonarQube Scanner

1.6 Crea una carpeta en C:/sonarqube/scanner y copia aquí los archivos.

1.7 Añade el directorio C:/sonarqube/scanner/bin a las variables del sistema, esto puedes hacerlo pulsando las teclas Windows + R y escribiendo:

rundll32.exe sysdm.cpl,EditEnvironmentVariables

1.8 Accede a http://localhost:9000/sessions/new con las credenciales admin/admin

 

📊 2. Análisis estático de proyecto

2.1 Crea una carpeta en C:/sonarqube/projects y pega aquí el código fuente de tu software.

2.3 Dentro del panel de SonarQube, en la parte superior derecha, haz click en el botón + para analizar un nuevo proyecto.

2.4 Genera el comando de ejecución del scanner de la siguiente manera:

2.5 Dentro de la carpeta del proyecto, ejecuta el comando copiado del paso anterior y deja que termine de escanear el proyecto.

2.6 Una vez finalice, puedes ver los resultados en el panel de SonarQube.

 

Saludos!!

 

2 comentarios en “Análisis estático de código fuente con SonarQube”

  1. Avatar

    Muchas gracias por el articulo. A titulo orientativo, yo indicaría la siguiente web que tiene módulos, ejemplos y demás complementos para SonarQuB. Es un software muy completo en materia de análisis de código fuente tipo estático, y ciertamente, se puede analizar vulne, errores de programación,etc usando las métricas o indicaciones de OWASP top 10, SANS Top 25, CWE, etc, asi como implementar en docker (muy util tambien).
    Facilito alguna web de referencia, por si quisieras ampliar el articulo o para quien lo quiera:
    https://github.com/SonarSource
    https://docs.sonarqube.org/latest/user-guide/security-rules/

    Un saludo

Deja tu comentario

Ir arriba