SonarQube升级更新说明
本文介绍了SonarQube版本更新升级的方法。包括SonarQube升级指南和9.9版本更新说明。
9.9 版升级说明
数据库支持已更新
SonarQube不再支持Oracle版本12C和18C。
现在支持 Oracle 版本 21C。
现在支持 SQL Server 2022。
SonarQube 服务器需要 Java 17
Java 17 需要 SonarQube 服务器。不再支持使用 Java 11。
SonarScanner for .NET 兼容性
在SonarQube中对C#/ 进行增量分析需要SonarScanner for .NET 5.11+。
社区版、版和企业版的单一Helm图表
sonarqube lts Helm图表不再维护,无法用于安装sonarqube 9.9 lts。要安装Community、Developer或Enterprise Edition,请使用sonarqube Helm图表。数据中心版随sonarqube dce Helm图表提供。
已更新 Docker 映像
如果你使用自签名的证书,华东fortify sca,你可能需要调整你的Docker配置:Java的安装路径已经改变为
废弃的和变量已被删除
蕞新的配置变量请参见环境变量。
Docker镜像上的标签被替换成新的LTS版本。如果你想避免任何自动的重大升级,我们建议使用相应的标签来代替.lts9.9-
设置
这组说明介绍如何配置插件以运行本地 Fortify 静态代码分析器扫描,将分析结果上传到软件安全中心,然后在 Jenkins 中查看分析结果。您还可以使用 ScanCentral SAST 运行分析。有关说明,请参阅完整文档。
创建 CIToken 类型的身份验证令牌。登录 Fortify 软件安全中心,单击“管理”选项卡,源代码检测工具fortify sca,然后在左侧窗格中选择“令牌管理>用户”。单击“新建”创建 CIToken 类型的身份验证令牌,然后单击“保存”。对话框底部的令牌。
在 Jenkins 中,源代码审计工具fortify sca,安装 Fortify 插件。
从“Jenkins”菜单中,选择“Jenkins”>“管理 Jenkins”>“配置系统”。要根据结果触发不稳定构建并在 Jenkins 中查看分析结果,您需要将本地运行的分析结果上传到 Fortify 软件安全中心。向下滚动到强化评估部分,然后执行以下操作:
在“SSC URL”框中,键入“强化软件安全中心服务器 URL”。
在“身份验证令牌”框下方,源代码扫描工具fortify sca,单击“添加> Jenkins”以打开“Jenkins 凭据提供程序”对话框,并添加类型为“强化连接令牌”的凭据。添加凭据的说明,并将在步骤 1 中创建的令牌值粘贴到“令牌”框中。
要使用 Jenkins 中配置的代理设置连接到 Fortify 软件安全中心,请选择“使用 Jenkins 代理”。
单击测试 SSC 连接。
特征
提供构建后操作,以使用 Fortify 静态代码分析器分析源代码、更新安全内容、使用 Fortify ScanCentral SAST 进行远程分析、将分析结果上传到 Fortify 软件安全中心,并根据 Fortify 软件安全中心处理的上传结果将构建状态设置为不稳定使用 Fortify 静态代码分析器在本地和 Fortify ScanCentral SAST 远程为源代码分析提供管道支持,更新安全内容并将分析结果上传到 Fortify 软件安全中心显示使用 Fortify 静态代码分析器在本地分析的每个作业的分析结果,其中包括 Fortify 软件安全中心的历史趋势和蕞新问题,以及导航到 Fortify 软件安全中心上的各个问题以进行详细分析。