En esta sesión utilizaré una demostración en vivo para mostrar lo fácil que es agregar calidad de código y seguridad de código a tu proyecto con SonarCloud, no solo por ahora, sino para cada confirmación en el futuro.
This talk has been presented at DevOps.js Conf 2021, check out the latest edition of this JavaScript Conference.
Para configurar un nuevo proyecto, debes ir a la opción PLUS para analizar un nuevo proyecto, elegir tu organización en GitHub y seleccionar los repositorios que deseas analizar.
Sí, Sonar Cloud ofrece un plan gratuito para proyectos de código abierto.
Sonar Cloud es un producto SAS-SAS de SonarSource que se utiliza para agregar calidad de código y seguridad de código a tu repositorio.
Para iniciar sesión en Sonar Cloud, simplemente debes elegir tu ALM (Application Lifecycle Management) y la cuenta se crea automáticamente.
No, no es necesario tener configuración de CI/CD para usar Sonar Cloud, ya que el sistema puede manejar el análisis automático por sí solo.
En Sonar Cloud, puedes ver y analizar los problemas de seguridad de tu código accediendo a la sección de 'Problemas', donde se listan las vulnerabilidades y puedes profundizar en cada una para ver el contexto del código y las soluciones sugeridas.
Sí, Sonar Cloud soporta análisis de múltiples lenguajes de programación, lo que permite evaluar no solo JavaScript, sino también otros lenguajes utilizados en el proyecto.
Hola, soy Ann Campbell de SonarSource. Hoy quiero mostrarte lo fácil que es configurar tus proyectos con calidad de código y seguridad de código. Comenzaré iniciando sesión con mi cuenta de GitHub y seleccionando los repositorios que quiero analizar. Luego, crearé mi organización y elegiré los repositorios a analizar. ¡Es así de simple!
Hola, soy Ann Campbell de SonarSource. Hoy no tengo ninguna diapositiva para ustedes. Voy a intentar algo que es un poco arriesgado dadas las limitaciones de tiempo, pero esto debería funcionar bien. Así que lo que están viendo ahora es la página principal de Sonar Cloud, que es un producto SAS, un producto SAS-SAS, para agregar calidad de código y seguridad de código a tu repositorio. Y hoy quiero mostrarte lo fácil que es hacer eso.
Así que voy a comenzar iniciando sesión. Ahora ya tengo una cuenta, por lo que verán eso reflejado en mi experiencia. Pero como nuevo usuario, todo lo que tendrías que hacer es elegir tu ALM para iniciar sesión y se crea tu cuenta automáticamente. Así que voy a comenzar con GitHub, porque tengo una cuenta allí. Y me inicia sesión y me muestra los proyectos a los que tengo acceso. Pero eso no es lo que quiero mostrarte hoy. Lo que quiero mostrarte hoy es lo fácil que es configurar tus proyectos con calidad de código y seguridad de código.
Así que voy a ir a la opción PLUS para analizar un nuevo proyecto. Ahora me pregunta si quiero analizar un proyecto de una de las organizaciones existentes a las que ya tengo acceso. Pero nuevamente, eso no es lo que quiero mostrarte hoy. Voy a mostrarte cómo crear una organización desde mi ALM. Así que voy a elegir GitHub. Y cuando llego aquí, me pregunta qué organización quiero en GitHub. Voy a elegir la privada. Y ahora GitHub me está pidiendo que otorgue permisos. Ahora, no quiero darle permisos a Sonar Cloud, solo estoy probando esto, ¿verdad? Así que no quiero darle permiso a Sonar Cloud para todos mis repositorios. Voy a seleccionar los repositorios que he elegido, que he bifurcado recientemente para esta demostración. Así que escribo los nombres de mis repositorios y hay un par que quiero mostrarte. Y una vez que los he seleccionado, puedo guardar eso. Eso me lleva de vuelta a Sonar Cloud, donde tengo un par de pasos más que completar. Tengo que darle un nombre y establecer una clave para mi organización. Voy a ir con el valor predeterminado. Quiero el plan gratuito, Sonar Cloud es gratuito para proyectos de código abierto. Así que voy a crear mi organización de esa manera. Ahora Sonar Cloud me está preguntando, de los repositorios a los que tiene acceso, ¿cuáles quiero analizar? Quiero analizar ambos. Ahora hago clic en Configurar.
Sonar Cloud analiza automáticamente mi código, eliminando la necesidad de configuración de CI/CD. Analiza la última versión de la rama principal y ejecuta el análisis para cada confirmación y nueva solicitud de extracción en mi rama principal. Los resultados se reflejan en mi solicitud de extracción en GitHub. No tengo errores, algunas vulnerabilidades y otros problemas. Vamos a profundizar en los problemas y ver los problemas bloqueantes y las reglas. Una de las reglas es que las consultas a la base de datos no deben ser vulnerables a ataques de inyección. Esta aplicación demuestra vulnerabilidades y la interfaz de usuario facilita la comprensión del flujo de vulnerabilidad en funciones y archivos. Ahora, cambiemos a otro proyecto y exploremos algo en la página de Problemas bajo la lista de lenguajes.
Y lo que está sucediendo ahora es que Sonar Cloud está revisando mi código. Y está echando un vistazo para ver si puede analizarlo automáticamente por mí. Así que no tengo que hacer ninguna configuración de CI/CD aquí. Simplemente se encargará de eso por mí.
Entonces, analiza mi código y dice que sí, puedo ejecutar un análisis automático en esto. Y está analizando la última versión de la rama principal. A partir de este momento, por cada confirmación en mi rama principal y por cada nueva solicitud de extracción, se ejecutará ese análisis por mí y se reflejarán los resultados en mi solicitud de extracción en GitHub, con una marca en mi solicitud de extracción.
Así que ahora mi pequeña aplicación ya ha terminado de analizar. Vamos a ver qué tengo. Aquí está mi resumen. Cero errores, tengo algunas vulnerabilidades. Tengo algunos otros problemas, pero lo que realmente quiero mostrarte aquí son los problemas. Aquí tengo mi lista de problemas. Sin embargo, no es muy útil ver solo una lista de problemas sin contexto. Así que voy a profundizar aquí. Veamos los problemas bloqueantes y las reglas. Tengo la regla de que las consultas a la base de datos no deben ser vulnerables a ataques de inyección. Veamos cuáles son esas. Voy a hacer clic en esto para ver el problema en el contexto del código.
Ahora, esta aplicación fue creada para demostrar vulnerabilidades. Así que lo que estamos viendo aquí es un flujo de vulnerabilidad realmente compacto. Pero la realidad es que en proyectos normales, el flujo de vulnerabilidad abarcará no solo funciones, sino probablemente también páginas y diferentes archivos en el proyecto. Hemos diseñado la interfaz de usuario, aunque no la estés viendo aquí, para que sea fácil de entender ese flujo a través de funciones y archivos. Eso es lo que quería mostrarte en este proyecto.
Ahora, voy a volver a mi lista de proyectos. Y mi otro proyecto ya ha terminado de analizar en este momento. Así que quiero entrar en ese. Una vez más, aquí tengo mi resumen en la parte superior. Y quiero mostrarte algo en la página de Problemas. Y eso está aquí, debajo de la lista de lenguajes.
We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career
DevOps.js Conf 2022
Node Congress 2022
React Advanced Conference 2021
DevOps.js Conf 2022
DevOps.js Conf 2022
JSNation 2023
React Summit 2023React Summit 2023DevOps.js Conf 2022DevOps.js Conf 2022DevOps.js Conf 2022DevOps.js Conf 2022
Comments