Aller au contenu

Comment intégrer BoostSecurity à SonarQube

BoostSecurity permet l'ingestion des résultats de sécurité d'un compte SonarQube existant. Une fois la connexion établie, les résultats de SonarQube sont périodiquement ingérés et traités via le flux de travail et les politiques de BoostSecurity.

Prérequis

En tant qu'administrateur d'organisation SonarQube, générez un jeton d'accès utilisateur pour configurer le Connecteur SonarQube. Vous pouvez créer un jeton à partir de Utilisateur > Mon compte > Sécurité dans SonarQube ou vous référer à la documentation de SonarQube.

Note

L'intégration ne sera complétée avec succès que pour les organisations dont vous avez les privilèges d'administrateur. Les organisations pour lesquelles vous n'avez pas les privilèges d'administrateur seront ignorées.

Étapes d'intégration

La connexion avec SonarQube peut être mise en place simplement via la carte d'intégration SonarQube :

  1. Accédez à la page des intégrations.

  2. Faites défiler la section Disponible et sélectionnez Connecteur SonarQube.

    Carte d'intégration SonarQube

  3. Cliquez sur le bouton Installer.

  4. Remplissez les éléments suivants :
    • Nom de l'intégration : Un nom personnalisé identifiant de manière unique l'intégration.
    • Jeton d'accès : Saisissez le jeton SonarQube.
  5. Cliquez sur Installer
  6. Prêt !

Vérification de l'intégration

Dans SonarQube :

  1. Allez sur la liste des organisations.
  2. Sélectionnez l'une des organisations pour lesquelles vous avez le privilège d'administrateur et ouvrez Administration > Webhooks.
  3. Vérifiez qu'il y a un Webhook dont le nom commence par boostsecurityio et dont l'URL commence par https://api.boostsecurity.io/.

Valider l'intégration SonarQube

Provisionnement du scanner

Français translation mise à jour

Une fois l'intégration terminée, le scanner SonarQube sera disponible sur les ressources Boost mappées à un projet SonarQube correspondant. Lors de l'utilisation du provisionnement automatique des projets SonarQube, les projets SonarQube doivent être mappés à un dépôt de code existant dans Boost qui correspond au nom de l'organisation et au nom du dépôt.

En sélectionnant l'un de ces dépôts de code dans la couverture de scan, il est possible de procéder au provisionnement. Une fois la fenêtre de provisionnement du scanner ouverte, allez à l'onglet de provisionnement avancé. Sous la section SAST, vous devriez voir le scanner SonarQube. Sélectionnez-le et appuyez sur le bouton de complétion.

Provisionnement du scanner SonarQube

Une fois le scanner provisionné, chaque fois qu'un scan SonarQube est déclenché dans votre instance SonarQube, un nouveau scan apparaîtra dans Boost, et les résultats seront évalués par rapport à la politique assignée au dépôt de code.

Note

Si le scanner SonarQube n'apparaît pas dans la liste des scanners disponibles, cela signifie que le dépôt de code actuel n'est pas mappé à un projet SonarQube. Si vous n'êtes pas sûr de quel projet SonarQube est mappé à quel dépôt de code Boost, copiez le nom du projet SonarQube et recherchez-le dans la couverture de scan Boost.