PHP 的原始碼弱點掃描實作,這邊使用 SonarQube 的社區版,這邊實作是參考這個連結,使用 MacOS 實現。
首先先提供相關資源網站:
SonerQube 官網和下載網址:
SonerQube 的套件 sonarscanner 安裝文件:
JDK 官網下載:
JDK 安裝教學:
下載 SonarQube 社區版解壓縮後,在 command line 中找到執行的指令,像是 MacOS 是在資料夾/bin/macosx-universal-64/ 裡面。進入資料夾中輸入:
./sonar.sh console
即可在瀏覽器 http://localhost:9000/ 中開啟網頁。預設帳號密碼 admin/admin 登入後更換密碼。
以下重點整理:
- 新增專案,選擇語言等操作完成後,會產生一組程式碼,該組程式碼是提供進入要掃描的資料夾根目錄中使用的。
- 在掃描之前,系統會提示需要安裝 SonarScanner ,請選擇 MacOS 版本,推薦加入 bash 中方便運作,參考這裡。
- 需要先安裝 JDK ,無法在 root 環境使用。
- 掃描後看結果可能心情會不太好,不過系統提到的都滿有道理的,建議改一下。