Ahora nos queda hacerlo formar parte de nuestro Pipeline. Lo primero que debemos hacer es instalar, en Jenkins, sonar-scanner. Para ello vamos a conectarnos, via SSH, e instalarlo.

Aca les dejo para realizar la descarga y la documentación oficial.

¡Realizamos los siguientes comandos!

Shell
 
 
 

Configuramos sonar-scanner. Para ello en /opt/sonar-scanner/conf/sonar-scanner.properties, agregamos la dirección de nuestro SonarQube.

Shell
 
 

Ingresamos en Jenkins para la instalación del PlugIn.

Manage Jenkins > Manage Plugins > Avalable > SonarQube scanner

Configuramos el PlugIn, indicando la ruta de sonar-scanner.

Manage Jenkins > Global Tool Configuration > SonarQube Scanner

PlugIn

Tenemos que configurar el Token de Autenticación. Para ello, primero, debemos ingresar a SonarQube, por defecto el usuario y contraseña es admin/admin. Una vez autenticados:

Generación de Token

¡Lo copiamos!

Copiamos el Token.

Ya con el Token, volvemos a configurar Jenkins.

Manage Jenkins > Configure Systems > SonarQube Servers

Dependiendo de la version de Jenkins, que esten utilizando, tengan que agregar el Token como Secret Text.

Llego el momento de crear la Tarea. En mi caso vamos a revisar el código de un proyecto, sencillo, en Python. Importante revisar en el MarketPlace, de SonarQube, si tenemos el PlugIn del lenguaje a auditar.

Configuramos el Source, del proyecto:

Agregamos las variables de SonarQube, para la conexión y la creación del proyecto.

¡Ejecutamos! Al finalizar, si obtuvimos Success, podríamos chequear los Issues del código. Con esa información disparar resoluciones, bloquear el deploy, etc. Todo se basara en las configuraciones de nuestro Quality Gates.

Success Jenkins Task
Vemos el reporte del Job proyectKey

Podemos ver las recomendaciones que nos otorga SonarQube.

Seguramente tengamos mucho para mejorar u optimizar. ¡Espero que les sirva!

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

compartir en ....
Avatar

Acerca de Brian Alexander Diaz

Brian Alexander Diaz Investigador en temas de seguridad y Devops Mi nombre es Brian Alexander Diaz. El objetivo de este blog es promover la cultura y mentalidad en seguridad por todo el Internet y que la gente aprenda a facilitar su vida y crear  sistemas mas seguros .

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *