在查看我最近的问题时 Sonarcloud failure with Travis, Maven & github我意识到我问错了问题。我试图解决症状而不是根本问题。
我从事的一个项目 (eclipse/scanning) 使用 Github 作为其存储库,使用 Travis 和 Sonarcloud 进行持续集成和代码分析。
虽然 Sonarcloud 分析在内部拉取请求(来自分支的拉取请求直接推送到 eclipse/scanning)上运行良好,但在 Travis 为外部拉取请求(来自 fork 存储库的那些)运行时不起作用。
潜在的问题是,我们目前运行 sonarcloud 的方式依赖于环境变量,出于安全原因,这些环境变量未填充用于外部拉取请求:
Encrypted environment variables have been removed for security reasons.
See https://docs.travis-ci.com/user/pull-requests/#Pull-Requests-and-Security-Restrictions
我们将存储库设置为不关心 Sonarcloud 是否运行,但这意味着我们经常合并违反 sonarcloud 规则的更改,因为我们没有意识到它们已被破坏。我们只看到这些规则在下次被直接推送到存储库的人更改时被打破。这将修复 Sonarcloud 发现的问题的负担从合作者转移到了提交者。
所以,
请注意,这个问题似乎超出了In Travis Public Repository how to add a Secure variable that works on Pull requests too 的范围。还没有答案。
最佳答案
这可能不是您正在寻找的简单解决方案,但我认为在构建拉取请求时没有更简单的方法来访问 secret ,除非 Travis 以某种形式添加对它的支持。毕竟, secret 变量不可用是有充分理由的,因为拉取请求可以包含在构建期间执行的任意代码。攻击者可能会使用它来创建一个拉取请求,该请求会更改构建过程以读取解密的环境变量并将它们发送给他。
根本问题是运行构建的代码和构建的代码来自相同的(有时是不受信任的)源。为了能够在构建过程中使用 secret ,构建的代码和构建的代码需要分开,并且构建代码需要来自受信任的来源。不得执行来自不受信任来源的任何代码,除非它被沙盒化以使其无法访问任何 secret 。
据我所知,Travis 没有提供实现此目的的标准方法。
通过遵循将构建代码和正在构建的代码分离的想法,仍然应该可以针对外部拉取请求执行 Sonarqube 分析。
第一步是在 Github 上创建一个新的存储库“构建代码”,其中仅包含受信任的构建脚本。这些脚本负责检查拉取请求并执行 Sonarqube 分析。由于这些不是外部拉取请求的一部分,它们可以访问 secret 变量。但是请注意,不要在拉取请求中运行单元测试,因为这些是不受信任的。
第二步是每当针对实际源代码存储库发出拉取请求时触发“构建代码”存储库的构建。 Travis 提供了一个 API to trigger builds .但是,这也需要一个 secret 。因此,我们不能在构建拉取请求时简单地触发“构建代码”存储库的构建。但是,我们可以做的是安装 webhook在 Github 上的源代码存储库上,它在发出拉取请求时调用一个小型 Web 服务。然后该服务调用 Travis API 来触发可信构建代码库的构建。
我希望这是有道理的。如果有什么不清楚的地方请告诉我。
我自己还没有这样做。所以我不能提供任何代码。但我认为设置一个小型 Web 服务将 Webhook 从 Github 请求转换为 Travis 的构建请求应该不会太难。
关于java - 如何让 Sonarcloud 在来自带有 Travis、Maven 和 github 的 fork 的拉取请求上运行,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45612758/
我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
关闭。这个问题是opinion-based.它目前不接受答案。想要改进这个问题?更新问题,以便editingthispost可以用事实和引用来回答它.关闭4年前。Improvethisquestion我想在固定时间创建一系列低音和高音调的哔哔声。例如:在150毫秒时发出高音调的蜂鸣声在151毫秒时发出低音调的蜂鸣声200毫秒时发出低音调的蜂鸣声250毫秒的高音调蜂鸣声有没有办法在Ruby或Python中做到这一点?我真的不在乎输出编码是什么(.wav、.mp3、.ogg等等),但我确实想创建一个输出文件。
给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru
我在我的项目目录中完成了compasscreate.和compassinitrails。几个问题:我已将我的.sass文件放在public/stylesheets中。这是放置它们的正确位置吗?当我运行compasswatch时,它不会自动编译这些.sass文件。我必须手动指定文件:compasswatchpublic/stylesheets/myfile.sass等。如何让它自动运行?文件ie.css、print.css和screen.css已放在stylesheets/compiled。如何在编译后不让它们重新出现的情况下删除它们?我自己编译的.sass文件编译成compiled/t
我正在寻找执行以下操作的正确语法(在Perl、Shell或Ruby中):#variabletoaccessthedatalinesappendedasafileEND_OF_SCRIPT_MARKERrawdatastartshereanditcontinues. 最佳答案 Perl用__DATA__做这个:#!/usr/bin/perlusestrict;usewarnings;while(){print;}__DATA__Texttoprintgoeshere 关于ruby-如何将脚
Rackup通过Rack的默认处理程序成功运行任何Rack应用程序。例如:classRackAppdefcall(environment)['200',{'Content-Type'=>'text/html'},["Helloworld"]]endendrunRackApp.new但是当最后一行更改为使用Rack的内置CGI处理程序时,rackup给出“NoMethodErrorat/undefinedmethod`call'fornil:NilClass”:Rack::Handler::CGI.runRackApp.newRack的其他内置处理程序也提出了同样的反对意见。例如Rack
在选择我想要运行操作的频率时,唯一的选项是“每天”、“每小时”和“每10分钟”。谢谢!我想为我的Rails3.1应用程序运行调度程序。 最佳答案 这不是一个优雅的解决方案,但您可以安排它每天运行,并在实际开始工作之前检查日期是否为当月的第一天。 关于ruby-如何每月在Heroku运行一次Scheduler插件?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/8692687/
我有一个对象has_many应呈现为xml的子对象。这不是问题。我的问题是我创建了一个Hash包含此数据,就像解析器需要它一样。但是rails自动将整个文件包含在.........我需要摆脱type="array"和我该如何处理?我没有在文档中找到任何内容。 最佳答案 我遇到了同样的问题;这是我的XML:我在用这个:entries.to_xml将散列数据转换为XML,但这会将条目的数据包装到中所以我修改了:entries.to_xml(root:"Contacts")但这仍然将转换后的XML包装在“联系人”中,将我的XML代码修改为
我有一大串格式化数据(例如JSON),我想使用Psychinruby同时保留格式转储到YAML。基本上,我希望JSON使用literalstyle出现在YAML中:---json:|{"page":1,"results":["item","another"],"total_pages":0}但是,当我使用YAML.dump时,它不使用文字样式。我得到这样的东西:---json:!"{\n\"page\":1,\n\"results\":[\n\"item\",\"another\"\n],\n\"total_pages\":0\n}\n"我如何告诉Psych以想要的样式转储标量?解