SonarQube Security Summary

概述

SonarQube提供全面的安全功能，包括认证和授权机制、强制身份认证以及委派认证。此外，还支持在组/用户级别配置项目访问权限、代码管理权限以及质量控制设置。密码等敏感信息可通过内置机制加密。

认证

强制身份认证

SonarQube要求强制用户身份验证，防止匿名用户访问Web API或项目数据。这一设置提高了安全性，但某些只读API仍可匿名使用。

认证机制

认证可以通过SonarQube的内置数据库、外部工具（如LDAP）或HTTP headers进行管理。默认管理员账户为admin/admin。

用户和Token管理

管理员可管理用户及其令牌（Tokens），令牌是运行分析的唯一凭证。若管理员密码忘记或账户被删除，可通过数据库操作恢复访问权限。

授权

授权机制允许创建用户和用户组，并为其分配权限。权限分为全局权限（如系统管理、质量配置管理）和项目权限（如浏览、代码查看、问题管理等）。SonarQube支持对项目进行私有化设置，仅授权用户可访问。

相关配置

强制登录

管理员可通过配置强制要求用户登录后才能访问SonarQube实例及运行代码扫描。

项目可见性设置

默认新项目可见性可设置为私有，确保只有授权用户可访问。已有项目的可见性需手动调整。

权限修改

管理员可移除Anyone组和Project Creator组的权限，进一步加强实例安全性。

生成用户Token

用户可通过个人账户生成Token，用于项目隔离的代码扫描。

权限模板

SonarQube支持通过权限模板自动分配角色权限。管理员可根据项目标识模式设定权限模板，将权限绑定至特定项目。权限模板修改不会影响已创建项目权限，需手动调整。