0

我搜索了论坛,似乎不太了解 Sonar 的 fortify 插件的配置。

我知道它只是根据先前生成的 .fpr 文件中的数据构建一个小部件。我的设置:

  • Maven 3 项目
  • 詹金斯 1.606
  • SonarQube 5.0.1
  • Sonar-Fortify 插件 2.0

先决条件:

  • .fpr 文件位于 Jenkins 工作区中
  • 声纳被添加到 pom.xml
  • sonar-fortify-plug-in v2.0 添加到 pom.xml - (不确定是否需要)
  • 在 Jenkins 中配置的声纳服务器
  • Sonar fortify 插件 v2.0 添加到 Sonar - (仅在“配置小部件”下看到“启用报告链接”的下拉菜单是否应该在某处有更多配置?

问题:

  • 这个属性应该设置在哪里?詹金斯声纳配置,声纳,pom文件?
    声纳运行器 -Dsonar.fortify.reportPath=/path/to/project.fpr
  • .fpr 文件的路径是否位于 Jenkins 工作区中?

Github 上的设置说明似乎很短,我觉得我的理解中缺少一些具体的东西。

非常感谢您对其他文档的任何帮助或指导。

4

1 回答 1

1

首先,不能再使用已记录的 2.0 版。2.1 版即将发布。投票将于本周开始。同时,您可以:

  • 下载2.1-SNAPSHOT 版本并将其复制到 SonarQube 服务器安装的扩展/插件中
  • 重启服务器。Fortify 规则应在“规则”页面中可用。
  • 独立于 SonarQube 执行 Fortify 命令“sourceanalyzer”。它会生成一个以 .fpr 为后缀的报告文件。

  • 通过添加属性 sonar.fortify.reportPath 对您的项目执行标准 SonarQube 分析,例如:

    mvn 声纳:声纳 -Dsonar.fortify.reportPath=/path/to/project.fpr

    声纳运行器 -Dsonar.fortify.reportPath=/path/to/project.fpr

如果一切正常,那么您可以在 Jenkins 中自动执行这些步骤。

于 2015-03-31T16:42:29.320 回答