我们的目的，扫描出来SQL拼接，SQL拼接如果没有用预编译从合规来说就是不对的。

Sonar测试环境安装

Sonarqube的docker化(有的人连docker都不会用，😔)：

version:  "3"   services:   sonarqube:     image: sonarqube:7.9-community     ports:       - "9000:9000"     networks:       - sonarnet     environment:       -  SONARQUBE_JDBC_URL=jdbc:postgresql://db:5432/sonar     volumes:       - sonarqube_conf:/opt/sonarqube/conf       - sonarqube_data:/opt/sonarqube/data       - sonarqube_extensions:/opt/sonarqube/extensions       -  sonarqube_bundled-plugins:/opt/sonarqube/lib/bundled-plugins     db:     image: postgres:11.1     networks:       - sonarnet     environment:       - POSTGRES_USER=sonar       - POSTGRES_PASSWORD=sonar     volumes:       -  postgresql_data:/var/lib/postgresql/data   networks:   sonarnet:     driver: bridge   volumes:   sonarqube_conf:   sonarqube_data:   sonarqube_extensions:   sonarqube_bundled-plugins:   postgresql_data:

运行sonar准备好，建议运行sonarqube7.9，这是一个LTS版本。支持大量的插件。

Sonar-pmd

安装完成打开127.0.0.1:9000,输入账号admin/admin，然后登陆配置，选择market，然后输入“chinese“ 安装中文语言包。方便E文不好的童鞋。同时安装好pmd

 

 

静态代码检测可以做哪些事情(看起来和正则表达式一样)：

1、SQL拼接(同理可以检测其他的一些拼接，例如命令执行的参数是否拼接了)

2、SSO认证SDK是否接入

3、加密算法是否使用了国密

4、1day 特征检测

5、配置信息是否有密码明文特征

6、大部分语言的规则(Ecmascript,PHP,C#,Python,Ruby,GO,XML等)

静态代码审计有一些鸡肋，由于不能溯源变量的来源，显得好像只能检测一部分的安全问题。但是这个有一点好处就是语言多，支持的范围广，毕竟是ast检测，不是检测字节码。哦，对了，他还可以支持IDEA和Eclipse。甚至可以把合规的丢到开发的初期就解决问题，一份策略，2个地方可以使用，且支持多语言。Em..挺好的，加上字节码的检测，这样合规和漏洞都可以解决。

 

规则导入：

选择“代码规则“

然后选择“模板“->”只显示模板”

然后选择XPath rule template

然后选择“自定义规则“

然后到“质量配置”里创建一个PMD规则

并且在‘代码规则‘里激活它

 

Mybatis 

怎么安装就不说了，这里创建一个Mybatis SQL拼接的质量配置

然后默认使用他

然后回到“代码规则”里找到

并继承他编写规则

定义3个SQL拼接规则

其实只要第一个规则就行了。意思就是任何元素的文本包含$符号就判定为SQL拼接

最后的效果如下

可以看到这些都是有问题的，潜在可能存在SQL注入

其他问题

1、sonar扫描xml需要增加一个sonar.source变量，即在扫描的时候增加-Dsonar.source=src

2、配置xml规则的时候，文件类型不需要填写

3、XPath语法2.0才会有fn:matches和starts-with等

明天继续分享规则怎么写

本文始发于微信公众号（xsser的博客）：在sonSonarqube上编写XPath规则做SQL拼接代码检测