Galería

Forcing user authentication in #SonarQube

141305-gotpass-contrasenasSonarQube es una herramienta originalmente diseñada para ser instalada en un ambiente local. Sin embargo, a lo largo de su evolución ha sido cada vez más común verlo desplegado en servidores para su uso compartido.

Incluso,…

índiceYa contamos con SonarCloud (https://sonarcloud.io), un SaaS que nos provee un servicio para implementar Continuous Code Quality Online.

 

Claro que, siempre hay aquellos que prefieren realizar la instalación en sus propios servidores.

Realizar una instalación de SonarQube puede ser bastante sencilla, pero si decidimos hacerla en un servidor público una de las cosas que sería imperdonable olvidar es realizar la configuración para forzar la autenticación de usuarios.

 

Configuration : Security : Force user authentication (Default: False)

Al instalar nuestro SonarQube una de las cosas que podemos notar es que tenemos acceso libre (y casi total) a la aplicación.

2018-10-12_192001

Solo si requerimos acceder al área administrativa nos son requeridas las credenciales de acceso.

2018-10-12_192105

Esto se traduce en que, …

Cualquiera puede tener acceso al código completo de las aplicaciones que estemos escaneando con nuestro SonarQube.

 

Esto se debe a que, al ser SonarQube una herramienta de MCQ (Manage Code Quality) está pensada para entornos personales o privados, de manera que la opción de Force Authentication se encuentra apagada de manera predeterminada.

Te invito a que leas mi artículo: Perversión de MCQ puede destruir la Calidad

2018-10-12_193719

Configuration : Security : Force user authentication (True)

Para cambiar esto, debemos ingresar al panel de administración

2018-10-12_192222

Vale la pena destacar que estamos trabajando con la versión 7.3

 

En la sección Administration, seleccionamos Configuration > Security

Encendemos la opción “Force user authentication” y salvamos los cambios.

 

Y listo, al cerrar la sesión, veremos que en lugar de acceder a la aplicación de SonarQube se nos solicitarán las credenciales de acceso.

2018-10-12_192436

 

Finalmente, solo tendremos que ir a la sección Administration > Security > Users

2018-10-12_205342

Y crear los usuarios necesarios para darle acceso a los colaboradores involucrados con el proyecto.

2018-10-12_193821

 

Run sonar-scanner with Configuration : Security : Force user authentication (True)

Casí lo olvidaba, si activamos la opción “Force user authentication” tendremos que ajustar nuestro archivo sonar.properties para incluir las key:

sonar.login   y   sonar.password

o de lo contrario obtendremos un error como el siguiente:

2018-10-12_215539

“Not authorized. Analyzing this project requires to be authenticated. Please provide the values of the properties sonar.login and sonar.password”

 

 

Espero te haya parecido útil este post

………….

Quiero man.tener.me informado: Seguir en Twitter @eldavid_oficial https://twitter.com/eldavid_oficial

Regálame un ME GUSTA. Y si eres solidario, COMPARTE para que otros puedan aprovecharlo

 

 

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.