无法使用 Jenkins 和 SonarQube 配置 sonar-fortify 插件

Question

我搜索了论坛，似乎不太了解 Sonar 的 fortify 插件的配置。

我知道它只是根据先前生成的 .fpr 文件中的数据构建一个小部件。 我的设置：

• Maven 3 项目
• 詹金斯 1.606
• SonarQube 5.0.1
• Sonar-Fortify 插件 2.0

先决条件：

• .fpr 文件位于 Jenkins 工作区中
• 声纳添加到 pom.xml
• sonar-fortify-plug-in v2.0 添加到 pom.xml -（不确定是否需要）
• 在 Jenkins 中配置的声纳服务器
• Sonar fortify 插件 v2.0 添加到 Sonar -（仅在“配置小部件”下看到“启用报告链接”的下拉菜单 某处应该有更多配置吗？

问题：

• 应该在哪里设置这个属性？ Jenkins 声纳配置、声纳、pom 文件？
  sonar-runner -Dsonar.fortify.reportPath=/path/to/project.fpr
• .fpr 文件的路径是否位于 Jenkins 工作区中？

Github 上的设置说明似乎很短，我觉得我的理解中缺少一些具体的内容。

非常感谢任何有关其他文档的帮助或指导。

Answer 1

首先as documented 2.0 版不能再使用了。 2.1 版即将发布。投票将于本周开始。同时你可以：

• 下载 2.1-SNAPSHOT version 并将其复制到 SonarQube 服务器安装的扩展/插件中
• 重启服务器。 Fortify 规则应在“规则”页面中可用。
• 独立于 SonarQube 执行 Fortify 命令“sourceanalyzer”。它生成一个以.fpr为后缀的报告文件。

• 通过添加属性 sonar.fortify.reportPath 对您的项目执行标准 SonarQube 分析，例如：

  mvn sonar:sonar -Dsonar.fortify.reportPath=/path/to/project.fpr

  sonar-runner -Dsonar.fortify.reportPath=/path/to/project.fpr

如果一切正常，那么您可以在 Jenkins 中自动执行这些步骤。