앵하니의 더 나은 보안

sonarqube 소스코드 정적분석 수행 본문

보안 운영/DevSecOps

sonarqube 소스코드 정적분석 수행

앵한 2023. 10. 2. 20:27

준비물

https://www.sonarsource.com/open-source-editions/sonarqube-community-edition/

https://docs.sonarsource.com/sonarqube/10.1/analyzing-source-code/scanners/sonarscanner/

위 링크에서 sonarqube community edition과 sonar scanner 다운로드

 

https://www.oracle.com/kr/java/technologies/downloads/

위 링크에서 JDK 16 이상 버전 다운로드 및 설치

 

환경 구축 및 점검 수행

  1. sonarqube community edition zip파일 및 sonar-scanner zip 파일 압축해제
  2. 압축 풀고 sonar-scanner의 bin 폴더(sonar-scanner.bat 파일이 있는 경로)를 환경 변수로 설정
  3. [sonarqube community edition 압축해제 경로]\bin\windows-x86-64\StartSonar.bat(sonarqube 서버 bat 파일) 실행
  4. sonarqube 서버 bat 파일 실행으로 sonarqube 서버가 동작하면 http://127.0.0.1:9000으로 접속해 admin/admin으로 최초 로그인 수행


  5. 최초 로그인 시 요구하는 패스워드 변경 후 아래 화면에서 manual 클릭(로컬에 존재하는 소스파일을 대상으로 점검할 것이기 때문)


  6. 프로젝트 이름 지정(보통 bitbucket의 repository 이름으로 설정)


  7. 신규 코드에 대한 기준 설정(기존 코드와 업데이트 된 코드를 비교하기 위해 업데이트 코드의 기준 설정)
    글로벌 세팅 : 마지막 소스코드로부터 변경된 소스코드 전부를 업데이트 된 코드로 간주
    사용자 설정으로 입맛에 맞게 조정 가능
    딱히 생각해둔 기준이 없다면 글로벌세팅으로 설정 후 Create Project 클릭
  8. 프로젝트 토큰 생성 후 continue 클릭
  9. 그러면 착한 sonarqube가 로컬에 있는 소스코드를 점검할 수 있는 커맨드라인을 작성해준다.


  10. 해당 커맨드라인을 복사, 명령프롬프트에서 소스코드 파일이 존재하는 경로로 이동 후 해당 커맨드라인 붙여넣어 명령 수행
  11. 소스코드 점검이 완료되면 sonarqube에서 각 취약점 내용 확인 후 정·오탐 판단 수행

 

 

 

Comments