參考文檔：https://docs.sonarqube.org/latest/instance-administration/security/

概述

SonarQube具有許多全局安全功能:

• 認證和授權(quán)機制
• 強制身份認證
• 委派認證

除此之外，還可在group/user級別配置:

• 查看一個已存在的項目
• 訪問項目的源代碼
• 管理一個項目（設(shè)置排除模式，調(diào)整該項目的插件配置等）
• 管理質(zhì)量配置，質(zhì)量閾，實例…

安全性的另一個方面是對密碼等設(shè)置進行加密。SonarQube提供了一種內(nèi)置的機制來加密設(shè)置。

認證

https://docs.sonarsource.com/sonarqube/latest/instance-administration/security/#authentication
匿名用戶是否可以瀏覽SonarQube實例？當(dāng)然不行！那就需要強制用戶認證。

強制用戶身份驗證可防止匿名用戶通過Web API訪問Sonar Qube UI或項目數(shù)據(jù)。一些特定的只讀Web API，包括提示身份驗證所需的API，仍然可以匿名使用。
禁用此設(shè)置可能會使實例面臨安全風(fēng)險。

認證機制

可通過多種方式來管理認證機制:

• 通過SonarQube內(nèi)建的user/group數(shù)據(jù)庫
• 通過外部程序(如LDAP)
• 通過HTTP headers
  

Sonar用戶

當(dāng)你在SonarQube數(shù)據(jù)庫中創(chuàng)建用戶時，他將被視為本地用戶，并且針對SonarQube自己的user/group數(shù)據(jù)庫進行身份認證，而不是通過任何外部工具。
默認情況下，admin是本地賬戶。
同樣，所有非本地(non-local)賬戶將僅針對外部工具進行身份認證。

管理員可以管理所有用戶的Tokens——創(chuàng)建和刪除。一旦創(chuàng)建，Token就是運行分析所需的唯一憑證，作為sonar.login屬性的值來傳遞。

默認管理員憑據(jù)

當(dāng)安裝SonarQube時，會自動創(chuàng)建具有管理系統(tǒng)權(quán)限的默認用戶: user: admin/passwd: admin

恢復(fù)管理員訪問權(quán)限

如果你修改了管理員密碼，但又忘記了:

USE sonar;

update users set crypted_password ='$2a$12$uCkkXmhW5ThVK8mpBvnXOOJRLd64LJeHTeCkSuB3lfaR2N0AYBaSi',
salt=null, 
hash_method='BCRYPT'
where login ='admin'

如果您刪除了管理員并隨后鎖定了具有全局管理權(quán)限的其他用戶:

insert into user_roles(uuid, user_uuid, role)
values ('random-uuid', (select uuid from users where login='mylogin'), 'admin');

授權(quán)

在SonarQube中實現(xiàn)授權(quán)的方式是非常標(biāo)準(zhǔn)的?？梢愿鶕?jù)需要創(chuàng)建任意數(shù)量的用戶和用戶組。然后，可以將用戶附加到（或不附加）到（多個）組。然后向組和/或用戶授予（多個）權(quán)限。這些權(quán)限授予對項目、服務(wù)和功能的訪問權(quán)限。
對不同組、不同用于僅限權(quán)限分配，以訪問不同的資源。

• User
• Group
• Global Permissions
  • Administer System
  • Administer Quality Profiles
  • Administer Quality Gates
  • Execute Analysis
  • Create Projects
  • Create Applications
  • Create Portfolios
• Project Permissions
  • Public and Private
    • Administer Issues
    • Administer Security Hotspots
    • Administer
    • Execute Analysis
  • Private
    • Browse
    • See Source Code

相關(guān)配置

強制要求必須登錄SonarQube

用管理員賬號登錄SonarQube，打開Administration > Configuration > General Settings > Security，開啟Force user authentication，點擊Save保存生效。
開啟該選項后，不允許匿名運行mvn sonar:sonar代碼掃描，必須提供SonarQube Token。

修改默認的項目可見性為private

用管理員賬號登錄SonarQube，打開Administration > Projects > Management，修改Default visibility of new projects為private。

這樣新建項目后，只有該項目的授權(quán)用戶才能看到該項目的代碼。
對已有的項目，打開項目級別的Adminstration > Permissions，手工修改項目可見性。

去掉Anyone組的權(quán)限

用管理員賬號登錄SonarQube，打開Administration > Security > Global Permissions，去掉Anyone組的所有權(quán)限。
最新版本（v10.2.1.78527）AnyOne組已廢棄

去掉Project Creator的權(quán)限

用管理員賬號登錄SonarQube，打開Administration > Security > Permission Templates，打開Default template，去掉Project Creator的所有權(quán)限。

生成用戶Token

用該用戶登錄SonarQube，打開MyAccount > Security，來生成一個Token。
在按項目作多租戶隔離的場景，需要為每個項目在SonarQube上創(chuàng)建一個用戶，并使用該用戶的Token來作代碼掃描。

設(shè)置項目賬號權(quán)限

用管理員賬號登錄SonarQube，打開項目級別的Adminstration > Permissions，選擇Users，輸入用戶名稱查詢，然后設(shè)置該用戶權(quán)限。

在按項目作多租戶隔離的場景，需要為每個項目在SonarQube上創(chuàng)建一個用戶，并設(shè)置只有該用戶才有相應(yīng)權(quán)限。

默認權(quán)限的權(quán)限模板

https://docs.sonarsource.com/sonarqube/latest/instance-administration/security/#permission-templates-for-default-permissions

SonarQube附帶默認權(quán)限模板，該模板在創(chuàng)建項目，項目組合或應(yīng)用程序自動授予特定組的特定權(quán)限。管理員可以編輯此模板。

使用sonar掃描新項目后，如果要做角色管理，可以在sonarqube控制臺為項目指定權(quán)限模板以分配角色權(quán)限，但是每次掃描新項目都通過手動添加，特別是項目多的情況下，顯然是不方便的。

sonarqube在創(chuàng)建新權(quán)限模板的時候，提供了Project Key Pattern（項目標(biāo)識模式）功能，可以通過其正則表達式將權(quán)限模板自動授予到project_key符合的項目

1. 選擇“配置-權(quán)限-權(quán)限模板”創(chuàng)建新模板

2. 設(shè)置名稱、描述、項目標(biāo)識模式（使用sonarqube的正則表達式）

.* 表示匹配0到多個字符（ps：這里與常見的正則表達式的模糊匹配（*）方式不同，[a,b] 匹配域內(nèi)任意字符,

如：

.*test.* 可以匹配project key為：citestpipe，ci-test-pipe等形式的項目
.*[-,_]test.* 可以匹配project key為：ci-test-pipe，ci_test等形式的項目

use the "Create" button on Administration > Security > Permission Templates. It is possible to provide a Project key pattern.

特別注意：

1. 先要配置好permission template, 設(shè)置哪些組可以有哪些權(quán)限，比如設(shè)置組 ABC可以訪問所有ABC 為前綴的項目。
2. 然后進行代碼掃描，生成的項目名稱必須匹配 ABC 前綴
3. 最后，組ABC 的成員才能訪問 ABC 前綴的掃描項目，因為提前已經(jīng)建立了權(quán)限綁定關(guān)系。

如果之前沒有進行這樣的設(shè)置，過去創(chuàng)建的掃描項目不會默認繼承這樣的關(guān)系，必須重新手動進行授權(quán)。


官方解釋：

雖然模板可以在項目創(chuàng)建后應(yīng)用，但將包含 Creators 權(quán)限的模板應(yīng)用于現(xiàn)有項目/項目組合/應(yīng)用程序不會向項目的原始創(chuàng)建者授予相關(guān)權(quán)限，因為該關(guān)聯(lián)未存儲。**

請注意，項目和權(quán)限模板之間沒有關(guān)系，這意味著：

• 將權(quán)限模板應(yīng)用于項目后，可以修改項目的權(quán)限。
• 修改權(quán)限模板時，不會更改任何項目權(quán)限。

3. 為模板設(shè)置用戶/用戶組的角色權(quán)限

4. 設(shè)置完成，看到權(quán)限模板里已經(jīng)有了新模板

權(quán)限模板設(shè)置完成后，新掃描的項目，只要project key匹配正則規(guī)則的，就會自動分配角色權(quán)限了，不需要再手動通過“配置-項目-項目管理”設(shè)置了