我正在尝试将SonarQube与Angular 12应用程序集成。Sonar检测任何用户名和密码,但如果是硬编码值,则不会检测任何访问密钥(API密钥(。如何为这种情况编写自定义规则?
在试用SonarCube插件之前,我不建议您添加自定义规则:https://github.com/Skyscanner/sonar-secrets
SonarQube的Sonar Secrets插件™设计用于识别硬编码密码、API密钥、AWS证书、令牌等机密根据最佳安全实践,建议使用凭证存储(例如credstash或Vault(以包含所有机密,并使用标识符引用这些,这样源代码将永远不要包含任何明文秘密。
此插件支持Java和JavaScript。
如果您仍然需要自定义规则,
有三种方法可以将编码规则添加到SonarQube:
- 用Java编写SonarQube插件,该插件使用SonarQobe API添加新规则
- 直接通过SonarQube web界面添加XPath规则
- 导入由独立运行的工具生成的通用问题报告
请参阅https://docs.sonarqube.org/latest/extend/adding-coding-rules/
您可以在这里的文档文章中找到有关安全相关sonarqube规则的更多信息:https://docs.sonarqube.org/latest/user-guide/security-rules/