我“选择”了Bandit,但它似乎是目前唯一能与Python的SonarQube集成的工具,如Import Bandit Issues Reports中所述。SonarPython插件支持安装在SonarQube服务器上的Bandit分析。为了在本地生成漏洞报告,我使用了Bandit 1.5.1 pip3模块。问题 漏洞报告不会显示-甚至可能没有上传-到S
浏览 112提问于2019-01-31得票数 4
回答已采纳
1回答
我正在尝试将pylint结果与SonarQube集成。要生成报告,我使用(我也尝试过sonar.python.pylint.reportPath=pylint-report.out,因为我在互联网上看到了一些这样的属性的例子)。PylintImportSensor' skipped because there is no related rule activated in the quality profile
但是,据我所知,如果我自己生
浏览 64提问于2021-02-25得票数 1
回答已采纳
1回答
由于我有不同的项目,具有不同的开发环境,所以,当然,我使用的渗透工具对我来说很重要。项目1是一个纯web项目,只供一个客户使用。(漏洞扫描器?)项目3--基于Java swing的旧“骨头”可以轻松地集成到CI作业中。这个工具有一个很好的测试环境,有许多现成的选项(OpenVAS这里有一个25000的数据库)最好是开放源码
尤其是在Java环境下运行的最后一个项目,使我对此进行了相应的关注
浏览 0提问于2019-02-20得票数 2
我使用下面给出的docker compose在我的MAC机器上安装了sonarqube。:volumes:
- sonarqube_conf:/opt/sonarqube/conf- sonarqube_data:/opt/sonarqube/dat
浏览 3提问于2018-01-21得票数 3
我想下载Eclipse插件并手动安装在Eclipse上(我知道它可以通过Eclipse的SonarQube下载,但我需要手动下载)。有人知道哪里有可能吗?有官方网站吗?
浏览 6提问于2016-06-22得票数 0
回答已采纳
我目前正在使用Hudson与python和sonar插件进行持续集成,以进行代码分析。由于我更喜欢pyflake而不是pylint,所以在build选项中,我编写了pyflake命令来生成txt文件。在报告冲突部分,我将pylint选项重定向到这个txt (在XML文件名模式中)。因此,Hudson状态在其报告中成功地显示了基于火药的违规行为的正确数量。但是声纳正在通过皮林特进行自己的分析,并显示出基于皮林特的分析。如何将pyflak
浏览 1提问于2013-07-26得票数 1
回答已采纳
6回答
我使用土匪来检查我的代码是否存在潜在的安全问题:然而,土匪发现的最常见的项目是。它由测试中的assert语句触发。我使用pytest,所以这不是一个关注的问题,而是一个良好的实践。我现在已经创建了一个.bandit文件skips: B101
但这也跳过了许多其他代码。这个问题有解决办法吗?
浏览 17提问于2020-09-10得票数 17
回答已采纳
SonarQube和声纳转轮无法拉出junit格式xml报告如前所述,我手动创建了XML格式的报表文件,但仍然没有成功。classname="Firefox_210_Mac_OS.com.company.BarTest" name="testfullName" time="0.0"/>将单元测试执行报告
浏览 4提问于2015-12-16得票数 0
使用SonarQube 5.1,通过将数据库配置为只接受来自构建服务器的连接,可以确保仪表板只显示版本控制中的代码报告。使用SonarQube 5.2,我不希望这种方法能够工作,因为扫描器没有直接连接到数据库。
如何保护SonarQube 5.2,以便只有构建服务器才能更新仪表板上显示的结果?
浏览 5提问于2016-01-07得票数 2
回答已采纳
我有一个Java Multi maven项目,并且我为每个子模块配置了Jacoco maven插件,以排除我不想要其覆盖率报告的文件。我认为我成功了,因为我没有看到这些文件,我已经排除在由jacoco生成的html报告中。我假设这些类文件已从jacoco.exec文件中排除。现在,我在SonarQube中使用这些累积的jacoco.exec文件,我看到了所有子模块的复盖范围,但是,当我进入类详细信息时,我再次看到我定义要排除的类。JavaProject
浏览 236提问于2018-06-08得票数 2
回答已采纳
1回答
在声纳声呐中使用吡喃
、、、、
我很抱歉,我有一项任务是在Gitlab中为python语言上的项目创建CI管道,并在SonarQube中使用结果。我找到了一些gitlab-ci.yml文件: - cd ..- git clone https://gitlab-ci-token:${CI_JOB_TOKEN}@gitlab/python-education/junior.g
浏览 6提问于2022-05-19得票数 0
它有两个方法,__init__(self)和run(self),其中run(self)是抽象的。我的问题是experiment_type3类。它也只有run(self)方法,它的实现与experiment_type1和experiment_type2不同,但是它的
浏览 3提问于2017-06-02得票数 2
回答已采纳
我们使用sonarqube社区版本,虽然它对静态代码分析很有用,但在安全性分析方面我看不出有什么意义。它确实标记了安全漏洞,并为OWASP前10和SANS前25位提供了安全报告。我想知道这是否是一些静态应用程序安全测试的一部分,还是我们需要使用开发人员/企业版来实现完整的端到端SAST。请澄清。
浏览 3提问于2021-02-09得票数 0
我用SonarQube ()分析了我的安卓项目。<?id="MissingTranslation">
浏览 6提问于2014-04-04得票数 2
回答已采纳
我们使用的是SonarQube 6.4
开发人员声称他们编写的每个函数或类都有单元测试用例
此应用程序具有数据库层
浏览 0提问于2019-03-21得票数 1
回答已采纳
我正在评估python内存分析。我想用Jenkins自动化内存泄漏分析,并将报告发布到Sonarqube。我目前使用的内存工具是memory_profiler。Jenkins & Sonarqube支持这种集成吗?或者有没有我应该考虑的python内存工具,可以很好地集成到Jenkins & Sonarqube中?谢谢
浏览 0提问于2020-04-02得票数 3
在SonarQube项目中执行命令"gradlew“时,在几分钟后我总是会得到错误:在此构建中使用了不推荐的Gradle特性,这使得它与Gradle 5.0不兼容。
浏览 2提问于2018-10-21得票数 0
回答已采纳
1回答
我有一个大型项目,其中包括通过NPM/Yarn下载依赖项的前端部分,并正在寻找在package.json中定义的第三方依赖项的安全漏洞扫描。我已经知道像Snyk,retireJS,NSP (现在被NPM收购)之类的选项,但是我想知道是否有一个好的插件可以用来添加到SonarQube中。这个想法是扫描依赖列表,用CVE数据库检查它,并生成一个包含漏洞的HTML报告,识别每个漏洞的风险级别。
谢谢
浏览 3提问于2018-07-13得票数 3
目前,我使用的是Sonarqube 6.3.2。我需要生成PDF。我试过使用一些插件,但它们与SonarQube 6.3.2不兼容。在SonarQube 6.3.2中有没有其他方法来生成PDF报告?
浏览 2提问于2017-05-24得票数 0
如何配置在SonarQube组件查看器中显示的源代码的最大行数?我一定是瞎了,但无论是在SonarQube本身还是在互联网上都找不到它。是SonarQube的核心:它显示文件的源代码及其高级统计信息。但是,它最多显示1000行源代码,然后在最后一行下有一个旋转轮,我看不到其余的源代码。
注:我使用的是SonarQube 5.3。
浏览 0提问于2016-02-29得票数 2
回答已采纳
云服务器
ICP备案
云直播
对象存储
实时音视频
腾讯云开发者
