SonarQube令牌怎么生成SonarQube令牌失效后构建任务怎么处理,这主要取决于令牌是用于个人本地扫描,还是挂在CI/CD构建任务中。按照SonarQube官方的解释,用户令牌能够用来做代码分析,在扫描时可以当作sonar.token参数传入,也可以搁在SONAR_TOKEN环境变量里;令牌一旦到了期限,就没办法再接着用了。
一、SonarQube令牌怎么生成
在SonarQube里,令牌其实就是扫描任务去访问服务器时手里捏着的一个凭据,它比直接把账号密码塞进去更适合安在构建任务当中,因为它可以单独去注销,也能给它捆上一个有效的时长。生成令牌的时候,不要只图省事就拿着管理员的号去弄一个出来,然后大家长久地伙着用,否则后面出了什么毛病,想顺着往回查都费劲。
1、从个人账号里面去生成令牌
进入【My Account】→【Security】,在令牌区域填写token名称,确认过期时间后生成。
生成之后,要立刻把它复制下来收好。令牌一般只在生成那一会儿能见到它原本的那串值,等离了那个页面,往后就再不能把它原始的字符给翻出来看了。假如这个令牌是准备给Jenkins、GitLab CI,又或者是GitHub Actions这类构建的地方去使,它的名字就应当起得明白一些,像project-a-ci-token这样,不要单写一个test,或者光秃秃地丢一个sonar在那里,要不然往后很难分得清楚它到底对着哪一路任务。
2、管理员可以代替用户去生成令牌
在有些团队的项目里头,并不是非得叫每个搞开发的人都自己去鼓捣一个令牌出来。SonarQube的管理员是可以顺着【Administration】→【Security】→【Users】这一条道儿摸过去,找到那个用户,再进到那用户对应的Tokens这一栏里头去生成令牌的。官方那头的文书也讲过,系统管理员是能够代着旁的用户去生成和给撤掉的,说的就是那种user token。
这个法子,挺适合拿来一统地管着CI那头用的账号。比方说,专专去建一个叫sonar-ci的用户,只把跑分析非得不可的那一撮撮权限拨给它,回头再由管理员去生成一个令牌,丢给流水线去使唤。这样子弄起来,比直接把哪个开发人员自家的号给拽过来用要稳当许多,万一碰上谁离职,再不就是哪个账号给停掉了,也不至于猛一家伙把所有构建的事情全给撂倒了。
3、令牌得搁在那些个安全的变量里面
在构建任务那里头,可不要把这令牌大模大样地明着写进脚本里头去。比较妥帖的法子,是把它塞到像Jenkins Credentials、GitLab CI Variables,再或者是GitHub Secrets这一类的安全变量里面,等到了敲扫描命令的那个当口,再去把它引出来。SonarQube官方那一边也是这么主张的,做分析的时候就直接用sonar.token或者SONAR_TOKEN,用不着再额外去掏一回密码。
二、SonarQube令牌失效后构建任务怎么处理
令牌这一旦失了效,构建任务那一边,照例就会在SonarQube扫描的那一步上栽跟头。往前走,编译、测试那些个工序兴许都已经安安然然地跑过去了,可是一走到要往上传分析结果,再不就是去连接SonarQube Server的那个时候,它就要开始往外蹦那种认证上出了岔子的错来。碰到了这种当口,先别只顾着翻来覆去地去重跑那一道流水线,要先耐着性子瞧一瞧,到底是不是token的日子跑到了头、被谁给一笔勾销了、账号给停了,再不就是权限那一头被人动过了。
1、先去摸清楚到底是跌在了哪一个窝上
要对着【构建日志】、【SonarScanner输出】和【认证错误信息】,去认一认这砸锅的当头,是不是刚好就出在SonarQube分析阶段。
如果日志里头往外冒的是token不管用了、认证没通过、再不就是缺着跑分析的那份权限这一类的话,那就该先把那个令牌提过来当第一桩嫌疑去验。可不要把这一类毛病当成了代码扫描的配置闹出了什么篓子,也别赶着先去动sonar.sources、sonar.projectKey这些东西。一旦大方向给弄反了,后头就要白搭进去不少工夫。
2、重新再去生成一个,把构建那边的变量给换下来
令牌要是已经迈过了那个期限,那就别再想着能捡回来将就着使了。官方的说明里头,那些身上拴着过期时长的token,挨到了日子就再不能拿出去使了,不过呢,它倒也还能在账号安全那页上让人瞧见它的影儿,再把它给撤掉。收拾它的路子,就是重新去生一个新的token,再拿着它把CI/CD里头原来那个老的安全变量给替掉。
换完了以后,顶好是先拿它去跑上一回小范围的构建,要不就只拣一条分支的构建去跑跑看,验一验这回的扫描是不是能把结果给安安稳稳地传上去了。可别就那么干晾着,单等正式发版的那趟流水线轰隆隆地转起来,才发现这个token压根儿还没有给换妥当。
3、再去查探查探那个账号和项目的权限
有时候令牌它自己的身子骨倒是一点儿毛病也没有,可是它背靠着的那个账号,身上的权限叫人给扭了把子,这一样是能把构建的活计给绊趴下的。就比方说那个用户一翻身弄丢了在那个项目上跑分析的权限,又或者是项目权限那一套模版给捣腾过之后,他该跟着一同过来的授命还一直没有给配上。用户要是给硬生生地停掉了,那也是要拽着底下的token一块儿去垫背的;SonarQube的文书里可是交明得明明白白,什么时候停用哪个用户了,那用户身上挂着的几把token,呼啦啦一下子可就全给薅得没影儿了。
三、SonarQube令牌管理怎么更稳
令牌这桩事情在管起来的时候,可不能单等着它已经掉了链子才急乎乎地去补窟窿。只要SonarQube的扫描一脚踩进了CI的流水线里面,这个token它就算作是构建底座配置里头掰不开的一瓣儿了,非得赶在头前就把它给盘算得熨帖了不可。
1、给构建的活计使唤一个专门开出来的账号
搁在CI头上头的扫描,最打紧的是使一个专门给它开出来的账号,甭四下里伸手去借旁人的私号来用。这种专门的账号,它身上的那一套权限要清亮得多,也不会因为今天这个人抬脚走了、明天那个人的位子给扒拉掉了,就跟着一阵阵儿地打晃。拨给它使的权限,刚巧够着那些它必定要去分析一下子的项目就成,可甭为了贪图省心,一开手就给它塞过去一道高得没边的大权。
2、把令牌拿去干什么用了,再搭着它到哪一天就不中用了这一套都给记下来
要对着【令牌名称】、【使用项目】、【CI变量名】和【过期时间】,去给它弄上一份简单明快的记认。
这样子拾掇下来,你抬眼一瞄,哪一把令牌快要挨到寿了,就能赶在前头给它换上一茬新的,也省得到了构建那活儿都瘫在地上爬不起来的当口,才又倒回去急急慌慌地从起根上摸索。要是你掏银子供着的是企业那一版,那里头还能由着你给这令牌拴上一道顶破天能活多长日子的绳头;官方的文书也露出过口风来,这个能把顶大活头给管住的本事,是从Enterprise Edition那一档上才起始往外头放的。
3、把那些早都没了用场的老令牌赶早给撤掉
项目朝外搬了家也好,流水线歇在那里再没动弹过也罢,再不就是账号给调理了又整顿了,那原先撂在手里的旧令牌就得赶紧跟着一总给撤掉才着调。SonarQube那头,是答应人在账号安全那页上就能把窝在里头的陈年老令牌给一勾子叉掉的。旧令牌这玩意儿要是留得太多了,往后可真不只是翻查起来跟戳进了乱草棵子一样,连带着叫那些凭据给人摸走的缝子也一下胀上去了一大截子。
总结
往总了去归拢,SonarQube令牌怎么生成,还有等着令牌失了效以后又该怎么去归置那套构建的活计,根子上的事情,拿一句话就能给兜住:就是要拿这个token当成一个正儿八经的构建凭据去管起来。生出它的那阵子,要把账号、权限,再搭着到底能活几天这几样全给敲得死死的;使唤它的时候,就把它往那些个不轻易见光的保险变量里头一掖,别叫它那么大模大样地赤着身子晾在脚本里。一碰上令牌不顶用了,你就先翻翻构建的日志,去验实了它是不是在那儿一声接着一声地嗷嗷着认证没过关,等坐实了,再去生一个簇新的令牌,回身把CI那边藏着掖着的变量给替换下来就完事了。要往长远处去盘算呢,就是起用专门的CI账号、把它咽气的日子给盯牢靠了、再麻利儿地及时薅掉那些个不中用的老令牌,照这么一板一眼地颠下来,可比事后才火烧屁股地跑去救场子,要安稳得多得多。
