我是BitBucket的新手并继承了一个项目,现在正试图加快速度和代码完成。我们有一个DevSecOps管道,使用BitBucket作为SCM,SonarQube作为我们的静态分析引擎,Maven或Jenkins,取决于开发团队的偏好。 Java是开发语言。
如果在拉取请求中的代码的SonarQube分析中发现严重或高级问题,我的技术负责人希望阻止合并拉取请求。因此,我正在寻找一种方法来在拉取请求上触发SonarQube扫描,如果它失败(发现严重问题),则不允许合并通过或发送一些通知。还有希望分支上预先存在的问题不会触发通知(遗留问题不会破坏合并请求)。
我看到BitBucket的插件是“拉请求装饰者”,但他们缺乏文档(无论如何都是开源的。)
答案 0 :(得分:1)
绝对适合您案例的工具是Sonar for Bitbucket。
它与jenkins和sonarqube很好地集成到构建管道中。另外,为了触发您的分析,我建议使用插件pullrequest-notifier,它允许您对特殊的" pullrequest"做出反应。仅限活动 - >当涉及到特征分支的声纳分析时,这可以大大减少构建量。
就像一个完整的信息! Sonarqube建议不要对功能分支进行分支分析。因为这将为每个项目和每个分析的分支生成一个关于sonarqube的单独项目。 Bitbucket的声纳将清理它们。
将来会有一个变化,似乎已经在SonarSource City巡演中展示过了。当这一变化生效时,您将能够在更多的分支中进行分析。风格!
答案 1 :(得分:0)
您可以在Jenkins的功能分支上执行静态代码分析,并使用Violation Comments To Bitbucket Server Plugin向Bitbucket Server报告。
还有许多其他Gradle, and Maven, plugins来处理发现的违规行为。