How to install Sonarqube on Windows for scanning C#

บทนำ (Overview)

วัตถุประสงค์เพื่อ ติดตั้ง Sonarqube ให้สามารถใช้งานบน Windows และทดลอง Scan โปรแกรมที่เขียนด้วย C#

บทความโดย
Hades
Cyber Security Researcher

โปรแกรมจำเป็นต้องมี (Prerequisite):

  1. SonarQube Community edition
    • Sonar c# plugin
    • Sonar dependency check (Opensource scan)
  2. SonarScanner for MSBuildเลือก Download for .NET Framework 4.6+
  3. JRE
  4. MSbuild tools

ขั้นตอนการติดตั้ง (Installation step)

  1. MSbuild tool https://www.microsoft.com/en-us/download/confirmation.aspx?id=48159
    • ตรวจสอบว่าติดตั้งสำเร็จที่C:\Program Files (x86)\MSBuild\14.0\Bin 
    • หรือติดตั้ง Visual studio https://visualstudio.microsoft.com/downloads/
  2. JRE http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html
    • การติดตั้ง JRE ไม่มีความซับซ้อนมากแต่หลังจากติดตั้งเสร็จเรียบร้อยแล้วให้ตรวจสอบว่า Java ทำงาน
    • Cmd : java -version
  3. SonarQube 
    • https://www.sonarqube.org/downloads/
    • Unzip SonarQube ไปยัง Pathที่ต้องการ โดยตัวอย่างจะ unzipไว้ที่ C:\
    • เข้าไปที่ Path C:\sonarqube\bin\windows-x86-64(ขึ้นอยู่กับสถาปัตยกรรมที่ใช้งาน)
    • เริ่ม Run file โดย Run ด้วยสิทธิ์ Administratorเท่านั้นตามลำดับต่อไปนี้
      • InstallNTService.bat
      • StartNTService.bat
      • StartSonar.bat
    • จากนั้นทดสอบการเข้าใช้งานSonarQube web application ได้ที่
      • http://localhost:9000
      • User: admin, Password: admin
      • หากไม่สามารถเข้าถึงSonarQube ได้ให้ทำการตรวจสอบLog file ที่  C:\sonarqube\logs 
  4. ติดตั้ง Sonar c#
    • หลังจาก Loginเข้าไปแล้วให้เลือก Menu: Administrator / Market Place / search c#
    • กด Installด้านขวาหลังจากนั้น SonarQubeจะทำการ Restart
  5. ติดตั้ง Sonar dependency check
  6. SonarScanner for MSBuild 
    • https://docs.sonarqube.org/display/SCAN/Analyzing+with+SonarQube+Scanner+for+MSBuild 
    • https://github.com/SonarSource/sonar-scanner-msbuild/releases/download/4.3.1.1372/sonar-scanner-msbuild-4.3.1.1372-net46.zip
    • Unzip SonarScannerไปยัง Path ที่ต้องการ โดยตัวอย่างจะunzip ไว้ที่ C:\
    • เพิ่ม Pathลงใน Environment variable
  7. Testing C# source code scan:
    • Download source code from: https://github.com/jerryhoff/WebGoat.NET.git
    • เข้าไปยัง Project Path
      SonarScanner.MSBuild.exe begin /k:"testcsharp3" /n:"test-csharp3" /v:"1.0"
      Testcsharp3: keyname
      test-csharp3: Project Name
      


    • “C:\Program Files (x86)\MSBuild\14.0\Bin\MSBuild.exe” /t:Rebuild
    • SonarScanner.MSBuild.exe end
  8. เข้ามาที่Dashboard sonarqube

ใส่ความเห็น