ソースコードの脆弱性診断を行う機会があったのでSonarQubeを使ってみました
Windowsマシン上での実施した手順です
SonarQubeのCommunity版を入手します
https://www.sonarsource.com/open-source-editions/sonarqube-community-edition/
Download for free、Only Downloadでzipファイルがダウンロードができます
※この時最新バージョンがダウンロードされますが、この後使用するJavaバージョンと相性悪いなどの場合
少し前のバージョンの使用を検討してください
zipファイルを展開して任意のパスに配置します
例)C:\sonarqube\sonarqube-26.2.0.119303
Javaで動作するためjava.exeのパスを環境変数に追加します
(Javaがない場合、先にインストールしてください)
変数名:SONAR_JAVA_PATH
例)C:\Program Files\JetBrains\IntelliJ IDEA 2025.3.1.1\jbr\bin\java.exe
今回はそのほか設定をデフォルトのまま進めます
nodeのパッケージが1点必要でした
以下コマンドで@sonar/scanをインストールしてください
npm install -g @sonar/scan
(nodejs、npm未導入の場合、先にインストールしてください)
StartSonar.batを起動します
パス)bin/windows-x86-64/StartSonar.bat
初回起動の場合以下の出力となります
ブラウザにて以下URLにアクセスします
http://localhost:9000/
以下画面になります
ログインします
初期設定のユーザID/パスワードはadmin/adminです
ログイン後パスワードの変更が必要になります
トップ画面です
今回はローカルにあるソースコードに対して実施しますので
Create a local projectから始めます
プロジェクト情報を設定します
プロジェクト表示名、プロジェクトキーは任意で(対象のもとのプロジェクト名など)
メインブランチ名はこの場合は任意で
プロジェクト構成ですが
標準かカスタムかの選択は今回は標準で進めます
プロジェクトができました
続けて解析をかける対象への設定を行います
Locallyを選択します
トークンを生成します
特に変更なしでGenerate
対象環境のPG言語、OSを選択すると
解析のコマンドが生成されるのでコピーします
(PG言語は仮でよいです。今回Otherとしましたがこの後実際はPythonコードを対象にかけましたが特に問題ありませんでした)
対象のソースコードがあるディレクトリ(プロジェクト)に移動して先ほどのコマンドを実行します
※注意)コマンドの最初のsonar-scanner.batはsonar-scannerと.batなしに変更が必要でした
コマンド実行結果です
successfullyで終わっていれば成功しています
ブラウザ画面を見ると、解析結果画面が表示されています
全体の結果としてはPassedになっていますがSecurity Hotspotの項で1件発生していました。詳細を見てみます
今回の指摘は優先度も低く対応しなくてもよいかなという内容でしたが
危険性、対策など各情報へアクセスできるのでそこから危険性、処置対策の判断をしていくものになります