ClustersTraefik RouterSonarQubeRule:Host(...)MiddlewareSonarQube Web * NSonarQube CE * 1ELBDelegating AuthenticationCAS or SAML SSOElasticSearch7FrontendPostgresX-Forwarded-LoginRESTful APIFiles & IssuesJWT TokensFiles & IssuesJWT TokensRowKeyRowKey安全加固
参考这里的泄漏事故
- Dockerfile: 基于LTS镜像
- 不采用root的gosu启动,卸载无用的apt包
- 对sonar.properties关键信息使用自带AES工具加密,整体配置chmod400/nobody
- 移除/审计无用的自带插件,降低攻击面
- 系统配置
- 不暴露地址到外网
- 关闭默认共享项目;配置全局模版,不共享
sonar-user
- 集成SSO/LDAP登陆,并考虑实现群组定时push,基于群组而非用户管理权限
- admin只开启view与admin权限,不开启view source code功能,安装后专人回收账号