我们使用SonarQube(5.1)每晚使用Jenkins+声纳跑步器扫描我们目前正在开发的震源(即SVN/trunk resp.GIT/develop或master branch)。此外,在创建发布分支后,我们会扫描每个发布构建的发布源。现在,由于ISO27001的原因,我们需要每个版本构建的报告(基本上是SonarQube仪表板的PDF左右),其中包含每个类别中的问题数量和OWASP违规情况。
为了实现这一目标,对以下选项进行了评估:
- 每个可部署的项目使用两个SonarQube项目,一个用于主干,另一个用于发布,并在SonarQobe扫描后创建发布项目面板的PDF版本问题:无法自动复制项目设置、误报等,即两个项目都需要手动同步,这是不可行的
- 使用单个SonarQube项目进行主干和发布构建,并在SonarQobe扫描后立即创建报告问题:无法访问历史仪表板数据,即如果主干构建在发布构建后立即运行,则发布构建结果将消失。SonarQube 5中引入的扫描结果的异步处理使自动化变得更加复杂
因此,我可以想象,帮助我们实现目标的是
- 一种基于旧的(主干)项目初始化新的SonarQube项目(发布)的方法(复制设置、误报等,无历史记录),以便在这个时间点基本上自动为基于SonarQobe主干项目的每个发布版本创建一个新的SonalQube项目-或者-
- 查看任意旧扫描的任意仪表板的方法
或者有其他方法可以解决这个问题吗?
看看Reports插件(商业版)。它允许您以PDF格式通过电子邮件发送特定的仪表板(默认或自定义)。唯一的问题是日程安排。您可以按需生成它们,但正如您所说,背靠背构建将留下一个非常小的报告生成窗口。
另一方面,听起来您的"发布构建"是一项单独的工作?如果是这种情况,您可以将报告生成作为构建步骤添加到发布构建作业中,使其作为发布的一部分自动运行。使发布构建作业和正常构建作业互斥,您的"小报告窗口"问题就会消失。