Como configurar Sonarqube

 

www.onlinetis.com

SonarQube es una plataforma de código abierto para la inspección continua de la calidad del código. Su función principal es realizar un análisis estático de software (SAST) para detectar de forma automática y sistemática errores, vulnerabilidades de seguridad, "malas prácticas" (code smells) y otros problemas en el código fuente de una aplicación.

En esencia, SonarQube actúa como un "semáforo" para el código, ayudando a los equipos de desarrollo a mantener un estándar de "Código Limpio".

¿Cómo funciona?

  1. Análisis del código: SonarQube escanea el código fuente de tus proyectos sin ejecutar la aplicación. Utiliza un conjunto de reglas (miles de ellas) que cubren múltiples lenguajes de programación (Java, Python, JavaScript, C#, etc.).

  2. Generación de métricas: Tras el análisis, SonarQube calcula un conjunto de métricas clave, como la complejidad del código, el número de líneas duplicadas, la cobertura de pruebas unitarias y, lo más importante, los problemas de seguridad y calidad.

  3. Visualización en un dashboard: Los resultados se presentan en una interfaz web centralizada. Los desarrolladores y gestores pueden ver un resumen del "estado de salud" del proyecto, identificar las áreas problemáticas y priorizar las correcciones.

  4. Integración en el flujo de trabajo (CI/CD): Una de las mayores fortalezas de SonarQube es su capacidad para integrarse con herramientas de integración continua y despliegue continuo (CI/CD) como Jenkins, GitLab CI o Azure DevOps. Esto permite que el análisis de código se ejecute automáticamente cada vez que se envía un nuevo cambio, lo que proporciona retroalimentación instantánea a los desarrolladores.

Conceptos clave de SonarQube

  • Bugs: Errores en el código que pueden causar un comportamiento inesperado o un fallo de la aplicación.

  • Vulnerabilidades: Agujeros de seguridad que un atacante podría explotar (por ejemplo, inyecciones de SQL o Cross-Site Scripting - XSS).

  • Code Smells (Malas prácticas): Problemas de "limpieza" en el código que no son errores críticos pero que dificultan su comprensión y mantenimiento a largo plazo. SonarQube ayuda a reducir la "deuda técnica".

  • Quality Gates (Puertas de Calidad): Reglas o umbrales que puedes configurar para "aprobar" o "rechazar" un nuevo código. Por ejemplo, puedes establecer que una nueva función no debe tener vulnerabilidades de seguridad ni más de 10 code smells. Si no cumple con estos estándares, la "puerta" se cierra y el código no puede avanzar en el flujo de trabajo.

     

    Configurar SonarQube implica varios pasos, desde la instalación de la plataforma hasta su integración con tus proyectos de desarrollo. Aquí te explico el proceso general.

    1. Instalación de SonarQube

    La forma más común y recomendada de instalar SonarQube es a través de Docker. Es la manera más sencilla de empezar, ya que empaqueta todo lo que necesitas.

    1. Instalar Docker: Asegúrate de tener Docker instalado en tu sistema.

    2. Iniciar SonarQube: Abre una terminal y ejecuta el siguiente comando:

      Bash
      docker run -d --name sonarqube -p 9000:9000 sonarqube

      Este comando descarga la imagen de SonarQube y la ejecuta en un contenedor. -p 9000:9000 mapea el puerto 9000 del contenedor al puerto 9000 de tu máquina, lo que te permite acceder a la interfaz web.

    3. Acceder a la interfaz web: Una vez que el contenedor esté en funcionamiento, abre tu navegador y ve a http://localhost:9000. Inicia sesión con las credenciales por defecto: admin/admin.

    2. Configurar el proyecto

    Para que SonarQube pueda analizar tu código, necesitas configurar tu proyecto de software para que se comunique con la instancia de SonarQube. Esto se hace usando un SonarScanner.

    1. Instalar el SonarScanner: Hay varios "scanners" disponibles para diferentes tipos de proyectos (Maven, Gradle, .NET, etc.). El más genérico es el SonarScanner CLI. Descárgalo y asegúrate de que el ejecutable esté en tu PATH.

    2. Generar un Token de Autenticación: En la interfaz web de SonarQube, ve a Mi Cuenta > Seguridad y genera un "Token" de usuario. Este token se usa para autenticar el escáner y es más seguro que usar el usuario y la contraseña.

    3. Crear el archivo de configuración: En la raíz de tu proyecto, crea un archivo llamado sonar-project.properties. Este archivo contiene la configuración específica del proyecto. Un ejemplo básico es:

      Properties
      # Propiedades del proyecto
sonar.projectKey=mi-proyecto-web
sonar.projectName=Mi Proyecto Web
sonar.projectVersion=1.0

# Lenguaje principal del proyecto (opcional si es inferido)
sonar.sources=.

# Codificación de los archivos
sonar.sourceEncoding=UTF-8

      Aquí, sonar.projectKey es un identificador único para tu proyecto.

    3. Ejecutar el análisis

    Con el proyecto configurado, puedes ejecutar el análisis.

    1. Ejecutar el escáner: En la terminal, dentro del directorio de tu proyecto, ejecuta el siguiente comando, reemplazando el token y la URL si es necesario:

      Bash
      sonar-scanner \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.login=<tu_token_de_autenticacion>

      El escáner analizará tu código basándose en el archivo sonar-project.properties y enviará los resultados a SonarQube.

    2. Ver los resultados: Regresa a la interfaz web de SonarQube. Verás tu proyecto listado con todas las métricas de calidad, como bugs, vulnerabilidades, code smells y deuda técnica.

    4. Integración en el flujo de trabajo (CI/CD)

    Para obtener el máximo beneficio, el análisis de SonarQube debe ser parte de tu proceso de integración continua.

    • Jenkins, GitLab CI, GitHub Actions: La mayoría de las herramientas de CI/CD tienen plugins o acciones dedicadas para SonarQube. Puedes configurar un paso en tu pipeline de CI/CD para que se ejecute el sonar-scanner automáticamente después de cada commit o merge. Esto te da retroalimentación instantánea sobre la calidad del código en cada cambio.

    • Quality Gates: En la interfaz de SonarQube, puedes configurar "Quality Gates" para que el pipeline de CI/CD falle si se introduce un nuevo bug o vulnerabilidad. Esto asegura que el código sucio no llegue a la rama principal de tu proyecto.

Location: España

Entradas populares de este blog

Ciberseguridad y hacking con Whatweb

Imagen
www.onlinetis.com WhatWeb es una herramienta de código abierto para realizar fingerprinting o huella digital de sitios web . Su principal función es identificar las tecnologías, aplicaciones, servidores y otras configuraciones que se utilizan en una página web. Es muy popular en el ámbito de la ciberseguridad, especialmente en la fase de reconocimiento de una auditoría de seguridad o un test de penetración. ¿Cómo funciona WhatWeb? WhatWeb opera analizando una página web en busca de "firmas" o patrones que revelan la tecnología subyacente. En lugar de ser un escáner de vulnerabilidades completo, se centra en la recopilación de información. Para ello, examina diversos elementos del sitio web, incluyendo: Encabezados HTTP : Analiza las respuestas del servidor para identificar el tipo de servidor web (como Apache o Nginx), el lenguaje de programación (PHP, ASP.NET), o la versión. Código HTML y JavaScript : Busca cadenas de texto, nombres de archivos, comentarios o scripts especí...
LEER MAS »

Como robar contraseñas haciendo un phishing web

Imagen
  www.onlinetis.com Evilginx es una herramienta de phishing de tipo man-in-the-middle (MitM) diseñada para interceptar y robar credenciales de usuario, incluyendo las de sitios web que utilizan autenticación de doble factor (2FA). Su principal objetivo es engañar a las víctimas para que introduzcan sus credenciales en un sitio web falso que parece legítimo. ¿Cómo funciona Evilginx? Evilginx actúa como un proxy inverso. Esto significa que se coloca entre la víctima y el sitio web real que la víctima intenta visitar. Aquí te explicamos los pasos clave de su funcionamiento: Atracción de la víctima : El atacante envía un enlace a la víctima que la dirige al sitio de phishing, el cual está alojado en el servidor donde se ejecuta Evilginx. El dominio de este sitio suele ser muy similar al del sitio web real para no levantar sospechas. Proxy inverso : Cuando la víctima accede al sitio de phishing, Evilginx no solo le presenta una copia idéntica del sitio web real, sino que también red...
LEER MAS »

Arsenal software hacking NFC

Imagen
  www.onlinetis.com Arsenal software hacking NFC Kali Linux incluye varias herramientas especializadas para la auditoría y "hacking" de redes y dispositivos NFC. Estas herramientas están diseñadas para interactuar con las etiquetas y tarjetas NFC para realizar análisis de seguridad, como leer, escribir o clonar datos. Herramientas principales libnfc : Es la biblioteca fundamental que proporciona las funciones básicas para interactuar con dispositivos NFC. Es la base para muchas otras herramientas. Permite listar, leer y escribir en tags NFC. Los comandos más comunes son: nfc-list : Lista los dispositivos y tarjetas NFC conectados. nfc-mfclassic : Utilidad para leer y escribir en tarjetas MIFARE Classic , que son comunes en sistemas de transporte y control de acceso. nfc-mfultralight : Similar al anterior, pero para tarjetas MIFARE Ultralight . mfoc (Mifare Offline Cracker) : Esta es una herramienta crucial para el "hacking" de tarjetas MIFARE Classic. Explota una vu...
LEER MAS »