第一篇 介绍 DevSecOps
DevSecOps 是将安全性(Security)融入到软件开发(Development)和运维(Operations)的 DevOps 文化和实践中的一种方法论。它强调在整个软件开发和交付过程中将安全性作为一个关键组成部分,以确保软件在开发、测试、部署和运行过程中能够满足安全标准和最佳实践。
这篇介绍部署 SonarQube
SonarQube 是一个开源的代码质量管理平台,它用于对代码进行静态分析以发现代码中的缺陷、漏洞和代码异味(code smells),并提供了一系列的代码质量指标和报告。SonarQube 可以帮助开发团队在软件开发过程中持续监控和提高代码质量,从而降低技术债务(technical debt)并改善整体的代码可维护性。
部署
使用的环境是 UCCPS
前置条件
- 已安装 UCCPS v1.2.1 版本以上。
- 已经有默认的存储类可使用。
- 已添加了包含代码扫描组件的CatalogSource 源。
安装步骤
第一步 安装 operator
1、在 OperatorHub 中搜索 组件
2、点击 SonarQube operator 组件卡片,选择安装,根据提示进行依次点击
第二步 创建服务
1、创建项目
2、在项目中部署服务
3、检查路由是否创建成功
4、访问服务
第三步 配置服务
1、选择 UCCPS 方式登录
2、创建 Key
第四步 对代码进行静态扫描
1、创建代码扫描项目
2、触发代码扫描
第五步 查看扫描结果
1、点击红框位置
2、跳转到 Sonarqube, 查看扫描结果
3、进行代码审查
结尾
本篇文章通过图片进行演示,文字描述信息没必要写了。
整体流程为:在 组件仓库中安装 Operator -> 创建 SonarQube 定义资源 -> Operator 自动创建服务 -> 通过路由访问服务 -> 配置服务相关配置 -> 在 UCCPS 项目中添加代码扫描 -> 通过UCCPS 开发者视角的拓扑查看扫描结果。