DefectDojo与SonarQube API集成实现多项目扫描

在实际的DevSecOps实践中，DefectDojo作为安全管理平台与SonarQube代码质量分析工具的集成是一个常见的需求场景。本文将详细介绍如何通过API方式实现SonarQube中多个项目的自动化扫描结果导入到DefectDojo平台。

集成原理

DefectDojo提供了SonarQube API Import功能，可以直接通过SonarQube的REST API获取扫描结果，而无需手动导出和上传报告文件。这种集成方式具有以下优势：

1. 实时性：直接获取SonarQube服务器上的最新扫描结果
2. 自动化：可以配置为定期自动执行
3. 全面性：支持导入多种问题类型（缺陷、错误、代码异味等）

配置步骤

1. 基础配置准备

首先需要在DefectDojo中配置SonarQube的连接信息：

• SonarQube服务器地址：填写SonarQube实例的基础URL
• 认证方式：使用API Key进行认证
• 扫描类型：可选择导入BUG（错误）、ISSUE（问题）、CODE_SMELL（代码异味）等不同类型的问题

2. 创建测试与导入

完成基础配置后，可以通过以下步骤实现多项目扫描结果的导入：

1. 在DefectDojo的"Engagement"模块中，选择或创建对应的业务线
2. 点击"Add Tests"添加新的测试
3. 选择测试类型为"SonarQube API Import"
4. 设置测试相关参数（时间范围、环境等）
5. 提交测试配置

3. 执行扫描导入

在测试创建完成后：

1. 进入测试详情页面
2. 点击"Import Scan Results"
3. 选择扫描类型为"SonarQube API Import"
4. 不选择特定的API扫描配置（这样会导入所有配置的项目）
5. 提交导入请求

技术细节

DefectDojo的SonarQube API导入器会执行以下操作：

1. 通过SonarQube的/projects/search API获取所有项目列表
2. 对每个项目调用/issues/search API获取问题数据
3. 将获取到的问题数据转换为DefectDojo的Finding模型
4. 批量保存到数据库

注意事项

1. 性能考虑：当项目数量较多或问题数量较大时，导入过程可能需要较长时间
2. 结果查看：导入完成后，可以通过DefectDojo的筛选功能按项目查看特定结果
3. 定期同步：建议设置定时任务实现定期自动同步
4. 权限控制：确保DefectDojo使用的API Key有足够的权限访问所有需要导入的项目

通过这种集成方式，团队可以集中管理来自SonarQube多个项目的代码质量问题，实现统一的问题跟踪和处理流程，提高DevSecOps实践的效率。