SonarQube es un conjunto de herramientas de código abierto con interfaz web que nos ayudará a realizar análisis estáticos a nuestro código fuente con el objetivo de mejorar la calidad, solucionar errores y buscar vulnerabilidades.

Actualmente, la última versión es la 7.5, y soporta más de 25 lenguajes de programación.

 

🖥 1. Instalación

1.1 Descargar SonarQube Community Edition 7.5

1.2 Crea una carpeta en C:/sonarqube y copia aquí los archivos descomprimidos.

1.3 Descarga e instala Java JDK 8

1.4 Crear un archivo sonarqube.bat en el escritorio y añade lo siguiente (este archivo nos ayudará a arrancar sonarqube):

Para sistemas 32bits

C:\sonarqube\bin\windows-x86-32\StartSonar.bat

Para sistemas 64bits

C:\sonarqube\bin\windows-x86-64\StartSonar.bat

1.5 Descarga SonarQube Scanner

1.6 Crea una carpeta en C:/sonarqube/scanner y copia aquí los archivos.

1.7 Añade el directorio C:/sonarqube/scanner/bin a las variables del sistema, esto puedes hacerlo pulsando las teclas Windows + R y escribiendo:

rundll32.exe sysdm.cpl,EditEnvironmentVariables

1.8 Accede a http://localhost:9000/sessions/new con las credenciales admin/admin

 

📊 2. Análisis estático de proyecto

2.1 Crea una carpeta en C:/sonarqube/projects y pega aquí el código fuente de tu software.

2.3 Dentro del panel de SonarQube, en la parte superior derecha, haz click en el botón + para analizar un nuevo proyecto.

2.4 Genera el comando de ejecución del scanner de la siguiente manera:

2.5 Dentro de la carpeta del proyecto, ejecuta el comando copiado del paso anterior y deja que termine de escanear el proyecto.

2.6 Una vez finalice, puedes ver los resultados en el panel de SonarQube.

 

Saludos!!

 


Javier Olmedo

Consultor de Ciberseguridad e Investigador de Seguridad de Aplicaciones Web en mi tiempo libre, Técnico en Sistemas Informáticos y Técnico Superior en Desarrollo de Software, apasionado de la [In]Seguridad Informática.

Deja tu comentario