我有一个单个 Sonar实例,分析不同客户拥有的不同项目的代码库。我需要确保非项目团队可以操纵声纳/机器安全访问其他项目的代码库(例如通过恶意单元测试,或通过脚本创建后门)。
我可以使用Windows安全性来创建受限制的用户帐户,这些帐户只能访问项目特定文件夹。然后,我可以使用该Windows帐户来安排任务,以执行从SCM下载的代码,并触发Sonar Runner触发分析。
现在我的问题是。当我在特定的Windows用户帐户下运行Sonar Runner时,真正的Sonar分析/单元测试执行是否会在该特定用户帐户的沙盒内运行?如果没有,是否有一种方法可以通过沙箱不同的项目来实现我的目标?
我不知道Windows安全是如何工作的,但一般来说,创建一个用户(或几个用户,如果你想要的权限有限)确实可以保护你的Sonar服务器免受大多数问题。