Análisis estático de código fuente con SonarQube

Javier Olmedo

SonarQube es un conjunto de herramientas de código abierto con interfaz web que nos ayudará a realizar análisis estáticos a nuestro código fuente con el objetivo de mejorar la calidad, solucionar errores y buscar vulnerabilidades.

Actualmente, la última versión es la 7.5, y soporta más de 25 lenguajes de programación.

 

🖥 1. Instalación

1.1 Descargar SonarQube Community Edition 7.5

1.2 Crea una carpeta en C:/sonarqube y copia aquí los archivos descomprimidos.

1.3 Descarga e instala Java JDK 8

1.4 Crear un archivo sonarqube.bat en el escritorio y añade lo siguiente (este archivo nos ayudará a arrancar sonarqube):

Para sistemas 32bits

C:\sonarqube\bin\windows-x86-32\StartSonar.bat

Para sistemas 64bits

C:\sonarqube\bin\windows-x86-64\StartSonar.bat

1.5 Descarga SonarQube Scanner

1.6 Crea una carpeta en C:/sonarqube/scanner y copia aquí los archivos.

1.7 Añade el directorio C:/sonarqube/scanner/bin a las variables del sistema, esto puedes hacerlo pulsando las teclas Windows + R y escribiendo:

rundll32.exe sysdm.cpl,EditEnvironmentVariables

1.8 Accede a http://localhost:9000/sessions/new con las credenciales admin/admin

 

📊 2. Análisis estático de proyecto

2.1 Crea una carpeta en C:/sonarqube/projects y pega aquí el código fuente de tu software.

2.3 Dentro del panel de SonarQube, en la parte superior derecha, haz click en el botón + para analizar un nuevo proyecto.

2.4 Genera el comando de ejecución del scanner de la siguiente manera:

2.5 Dentro de la carpeta del proyecto, ejecuta el comando copiado del paso anterior y deja que termine de escanear el proyecto.

2.6 Una vez finalice, puedes ver los resultados en el panel de SonarQube.

 

Saludos!!

 

Comparte el artículo si te ha gustado

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on pinterest
Pinterest
Share on telegram
Telegram
Share on whatsapp
WhatsApp
Share on email
Email

2 respuestas

  1. Muchas gracias por el articulo. A titulo orientativo, yo indicaría la siguiente web que tiene módulos, ejemplos y demás complementos para SonarQuB. Es un software muy completo en materia de análisis de código fuente tipo estático, y ciertamente, se puede analizar vulne, errores de programación,etc usando las métricas o indicaciones de OWASP top 10, SANS Top 25, CWE, etc, asi como implementar en docker (muy util tambien).
    Facilito alguna web de referencia, por si quisieras ampliar el articulo o para quien lo quiera:
    https://github.com/SonarSource
    https://docs.sonarqube.org/latest/user-guide/security-rules/

    Un saludo

Deja tu comentario