Github项目集成qodana进行静态代码扫描

# 0x00 前言

qodana是jetbrains发布的静态代码检测工具，与IDE原生集成，支持多种语言. 主要用于保证项目质量，包括编码规范，代码质量，安全性等。

# 0x01 Github项目集成qodana

新建一个workflow，如下:

name: Qodana
on:
  workflow_dispatch:
  pull_request:
  push:
    branches:
      - main
      - master
      - 'releases/*'

jobs:
  qodana:
    timeout-minutes: 15
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v3
        with:
          fetch-depth: 0
      - name: 'Qodana Scan'
        uses: JetBrains/qodana-action@v2023.1.0

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

workflow要注意配置权限。来源于官方

# 0x02 本地扫描

一键扫描指定项目

docker run --rm -it -p 8083:8080    
 -v /yourproject/:/data/project/ \
   jetbrains/qodana-go:2023.1-eap --show-report

1
2
3

扫描报告

Edit this page

← Web敏感信息识别工具 JDBC反序列化入门学习→