Snoarqube

SonarQube 是SonarSource 出品、开源免费社区版 + 商业企业版的静态代码分析 SAST 平台，俗称代码体检工具，全行业 DevOps 标配，用来自动化审查代码质量、安全漏洞。帮助助开发团队在代码合并或发布前自动发现错误、安全漏洞、代码坏味和架构问题。

Snoarqube介绍：

1.支持40 + 编程语言：Java、Go、Python、JS/TS、C#、C++、PHP、Vue、小程序、容器 IaC 配置文件等。

2.部署方式：Docker 一键部署、Windows/Linux 服务器、K8s 集群、SaaS 云 SonarCloud。

3.三大组成：SonarQube 服务端（Web 管理后台）+ SonarScanner 扫描器（本地 / CI 执行扫描）+ SonarLint（IDE 实时插件）+ 数据库 (PostgreSQL)。

Snoarqube软件特色

1. 静态应用安全测试（SAST）：SonarQube内置强大的SAST引擎，主动检测应用程序中的安全漏洞，覆盖OWASP Top 10和CWE Top 25等国际安全标准。同时支持污点分析（Taint Analysis），追踪用户输入数据流向，识别潜在的安全风险。

2. 敏感信息检测（Secrets Detection）：能够识别超过400种敏感信息模式，覆盖248种云服务（包括YAML和JSON文件中的密钥），有效防止API密钥、密码等敏感数据泄露到代码仓库。

3. 软件成分分析（SCA）：支持检测开源依赖库中的已知漏洞和许可证合规问题。提供依赖风险评分、企业许可证合规策略配置，并可在IDE中直接查看依赖风险。

Sonarqube使用教程:

用户管理

创建群组

配置-权限-群组-右上角

创建用户

配置-权限-用户-右上角

添加用户到PHP群组

配置PHP群组对test项目的权限

项目-test项目-配置-权限