背景:
Dev已经习惯使用Sonarqube进行静态代码扫描,现准备进行阶段审计看下使用效果怎么样。
PS:
1. Sonarqube根据Key来唯一标示项目。
2. Resolution 里面的False Positive(误报)和 Won’t fix(暂不处理)会自动继承:
- 如果一个问题本次标记为False Positive 或者 Won’t fix
- 以后此项目进行分析时此问题自动标记。
- 其他项目(Key不同)还是会报此问题。
思路:
Dev正常进行开发过程的静态代码扫描,SCM对项目主干(master)代码进行轮询静态代码扫描。
1. 主干代码静态代码扫描时Project Key增加统一标志来区分Dev开发过程扫描:
- 例如:修改maven pom文件 artifactId增加 master/admin/scm 后缀
2. 更新Dev开发过程项目标记规则到主干。
同步不同项目标记规则:
- 安装Issue resolver插件:
- Export and import resolved issues (false-positive and won’t fix) from SonarQube projects.
更新dev项目标记规则到主干项目:
- web端操作方法:
