Как обезопасить SonarQube 5.4?

Question

Как обезопасить SonarQube 5.4?

Я хотел бы настроить SonarQube так, чтобы разработчики могли генерировать HTML-отчет локально (в режиме "проблем"), но не могли публиковать отчеты на сервере SonarQube (в режиме "публикации").

Вместо этого я хотел бы, чтобы CI-сервер был единственной системой, имеющей доступ к публикации результатов (используя "технического" пользователя).

Примечания к выпуску для SonarQube 5.4 указывают на то, что разрешение "Выполнить предварительный анализ" было удалено.

Есть разрешение "Выполнить анализ", но, насколько я понял, это требуется как для режима "Проблемы", так и для режима "Публикация".

Прямо сейчас разрешение "Выполнить анализ" было предоставлено любому пользователю. Это позволяет плагину Maven выполнять анализ (проблемы или режим публикации). Однако как для сонара-бегуна (так и для сонара-сканера) оба маркера входа должны быть настроены, прежде чем они смогут запустить даже предварительный анализ. Это несоответствие кажется запутанным.

Как можно обезопасить SonarQube 5.4, чтобы только сервер сборки мог обновлять результаты, показанные на информационной панели?

2

sonarqube sonarqube-web sonarqube-5.4

Источник

user611182 22 мар '16 в 15:50

1 ответ

Другие вопросы по тегам sonarqube sonarqube-web sonarqube-5.4

user976155 22 мар '16 в 16:13 2016-03-22 16:13 · Answer 1 · 2016-03-22 16:13

Это довольно просто:

Убедитесь, что глобальное разрешение "Выполнить анализ" предоставляется только "техническому" пользователю, и настройте сервер CI для передачи учетных данных этого пользователя в команду Maven.
- => Это позволит CI отправлять отчеты об анализе на сервер SonarQube, но мешает любому другому пользователю делать это.
Убедитесь, что у каждого другого пользователя есть разрешение "Обзор" для проектов.
- => Это позволит любому пользователю выполнить анализ "проблем" и, следовательно, сгенерировать отчет в формате HTML.