2

我的开发人员正在使用IntelliJ SonarLint 插件连接到我们的 SonarQube 服务器并执行本地分析

为了连接到服务器,他们需要提供一个令牌,所以我想创建一个可以在所有开发人员之间共享的单一令牌。我希望这个令牌具有最低权限,即只允许下载规则以允许本地分析工作。

如果我以 SonarQube 管理员身份生成令牌,这是否意味着该令牌比非管理员用户生成的令牌具有更多权限?SonarQube文档暗示任何令牌都能够执行 SonarQube Web 服务的完整列表。

4

1 回答 1

1

您创建的令牌拥有您的所有权限。既不能通过使用令牌而不是用户名/密码来获得特权,也不能限制令牌的特权。在 SonarQube 中,令牌和用户名/密码非常相似 - 都告诉服务器你是谁以及你可以做什么。

您的解决方案可能是:

  1. 创建一个新的技术用户,该用户只有非常有限的权限。使用只有您知道的密码
  2. 以该用户身份登录
  3. 创建一堆token,每个开发者一个,开发者的名字为token name
  4. 给每个开发者他/她自己的代币
  5. 每当开发人员离开公司时,使他/她的令牌失效
于 2017-11-07T13:46:44.217 回答