靜態源碼分析軟體 SonarQube

###### tags: `資訊安全` # 靜態源碼分析軟體 SonarQube ## 安裝 1. docker run -d --name sonarqube -p 9000:9000 -p 9092:9092 sonarqube 2. docker start sonarqube 3. 打開瀏覽器連到localhost:9000 4. 帳密都是admin ## 建立測試專案 1. 建立測試專案 ![](https://i.imgur.com/RrD6etz.png) 2. 輸入字串產生token ![](https://i.imgur.com/6MtxVna.png) ![](https://i.imgur.com/mpmc5wb.png) 3. 連到 https://docs.sonarqube.org/latest/analysis/scan/sonarscanner/ 下載 sonar-scanner-cli-4.0.0.1744-linux.zip ![](https://i.imgur.com/6245NEH.png) ![](https://i.imgur.com/hQFyl3x.png) 4. 解壓縮到~/opt資料夾 5. 編輯nano ~/.bashrc ```shell= export PATH=$PATH:**~/opt/sonar-scanner-4.0.0.1744-linux/bin** ``` 6. source ~/.bashrc 7. 進入專案程式碼資料夾（ex: cd ~/project/flask_init） 8. 執行網頁提供的指令 ![](https://i.imgur.com/5KJoBag.png) 9. 回到localhost:9000就可以看到靜態分析結果 ## 補充會出現底下錯誤訊息： **Error when running: 'node -v'. Is Node.js available during analysis? No CSS files will be analyzed.** 還不確定在哪裡修正