jenkins集成blackduck,黑鸦sourcecode源码模式扫描配置

最新推荐文章于 2024-05-15 16:21:05 发布
最新推荐文章于 2024-05-15 16:21:05 发布
阅读量2.9k 收藏 6
点赞数
分类专栏: # 安全测试 文章标签: jenkins 安全漏洞 安全 系统安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_31295661/article/details/122235301
版权

最近公司新上项目需要对开源组件的漏洞和许可信息进行扫描,为了提高效率,就摸索Jenkins blackduck 持续集成完成安全扫描过程,分享如下:

理想目标:BlackDuck 与 Jenkins 的集成目标

  1. git仓库下载代码
  2. maven自动构建,编译
  3. 定期自动扫描,以及与其他 Jenkins job 任务依赖执行

1.首先,安装 Black Duck 插件 Synopsys Detect Jenkins

配置 Synopsys Detect 插件

  • Jenkins -> Confiruration(系统配置)
  • Black Duck URL:公司内部的 BlackDuck 网址,例如:https://XXXX.blackducksoftware.com
  • Black Duck credentials:选择 credentials 类型为 Secret text, Secret 填写你用户的 Token
  • 配置完成后点击 Test connections to Black Duck,显示 Connection successful 表示配置成功。
  • 2.构建后操作选择,Synopsys Detect,如下图,

 

 

 配置参数详情如下:

--blackduck.url=https://blackduck.swtools.XXXX.com
--blackduck.api.token=公司blackduck官网的访问密钥,一般密钥获取地址:https://blackduck.swtools.XXXX.com/api/current-user/tokens 
--blackduck.trust.cert=true 
--detect.project.name="工程名" 
--detect.project.version.name=版本名  
--detect.blackduck.scan.mode=INTELLIGENT 
--logging.level.com.synopsys.integration=INFO 
--detect.source.path=${WORKSPACE}/workspace/$JOB_NAME 
--detect.detector.search.depth=5  扫描深度
--detect.maven.build.command="clean package -Dmaven.test.skip=true"  maven命令

bulabula2022
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Black duck(鸭子软件)开代码审计管理测试平台
weixin_30699465的博客
08-07 4785
Black duck™(鸭子软件)是一款对代码进行扫描、审计和管理的软件测试工具。软件分别有protex、Codecenter、Export组成。该工具统计开代码的数量、质量、以及潜在的安全漏洞风险。 Protex:开代码知识产权与合规性检查。 Coedcenter寻找管理使用有效的开代码,以及开代码中存在的安全漏洞问题。 Export发现代码中是否含有出口管制的加密...
Black Duck----安装 Synopsys Detect,运行你的第一次
baidu_31295661的博客
01-08 7202
Synopsys Detect(也称为 Detect)可以在您的桌面图形用户界面 (GUI) 或命令行 (CLI) 上运行。虽然 Detect 运行有许多变化,但运行将执行以下三个步骤。 首先,Detect 将使用项目的包管理器来派生该包管理器已知的依赖关系层次结构。 其次,Synopsys Detect 将在项目上运行 Black Duck 签名扫描仪。这可能会识别包管理器不知道的其他依赖项(例如,复制到项目目录中的 .jar 文件)。 最后,Synopsys Detect 将两组结果上传到 Bla
DarkAngel 是一款全自动白帽漏洞扫描
最新发布
seoppg的博客
05-15 964
中文 |DarkAngel 是一款全自动白帽漏洞扫描器从hackeronebugcrowd资产监听到漏洞报告生成、漏洞URL截屏消息通知。
blackduckbinary二进制模式扫描jenkins配置
baidu_31295661的博客
12-30 2461
1.jenkins安装插件:Synopsys Detect 地址:Synopsys Detect | Jenkins plugin 2.配置插件 --blackduck.url=https://blackduck.swtools.XXXX.com --blackduck.api.token=公司blackduck官网的访问密钥,一般密钥获取地址:https://blackduck.swtools.XXXX.com/api/current-user/tokens --blackduck.tru.
Black Duck
jsd2root的博客
03-28 1190
Black Duck 是开代码审计和管理领域的领导者,BlackDuck 软件分为protex、Codecenter、和Export,其中Protex 是用于代码扫描的,可以帮助用户发现自己的代码中是否含有开软件代码,以及是否有知识产 权方面的风险。Coedcenter 是帮助用户在软件开发生命周期中管理和有效使用开代码的工具。Export能够帮助用户发现代码中是否含有受到出口管制的加密...
BlackDuck】Black-Duck-User-Guide用户指导书
baidu_31295661的博客
02-16 999
用户指导书地址: https://community.synopsys.com/servlet/fileField?entityId=kaC2H000000kBSXUA2&field=Attachment__Body__shttps://community.synopsys.com/servlet/fileField?entityId=kaC2H000000kBSXUA2&field=Attachment__Body__s
blackduckjenkins配置指定的synopsys-detect扫描版本
baidu_31295661的博客
06-22 480
背景通过jenkins在运行安全扫描自动化时,有时候不需要最新的synopsys-detect版本,而是运行指定版本1.管理员账户登录jenkins到【系统管理】【系统配置】【全局属性】配置blackduckjenkins插件synopsys-detect指定扫描版本,而不是从blackduck官网拉取最新扫描版本2.运行结果:......
jenkins集成配置教程
05-07
1,configure system ...6,配置 7,其他 (1)config system配置 (2)configure global security (3)credentials (4)global tool configoration (5)plugin (6)manage node (7)配置对应的JOB信息 8,问题
jenkins集成OWSAP ZAP插件方法
01-26
Jenkins是一款流行的自动化构建工具,通过集成OWASP ZAP插件,可以实现自动化安全漏洞扫描,提高软件开发过程中的安全性。本文将详细介绍如何在Jenkins集成OWASP ZAP插件,实现自动化安全漏洞扫描。 一、准备工作...
9781491979594 Source Code for Jenkins 2 Up and Running.zip
08-18
这个压缩文件对于理解Jenkins的工作原理、熟悉其安装与配置流程,以及掌握持续集成(CI)和持续部署(CD)的实践方法具有重要的价值。 Jenkins是一款开的持续集成服务器,它支持多种软件开发语言,如Java、Python...
jenkins集成OWASP ZAP,解决插件使用问题,无法保存配置问题。
01-26
jenkins集成OWASP ZAP,解决插件使用问题,无法保存配置问题。把zap.jar复制到jenkins插件zap文件夹下web-inf的lib中,覆盖原有zap.jar.
blackduck-installer:在Docker Swarm上安装Black Duck的实用程序应用程序
05-26
概述 建造 在哪里可以获得最新版本? 文献资料
Black Duck hub用户指导书
03-01
Black Duck hub用户指导书
2019十大实用且重要的开工具
01-10
在Black Duck的2017年开调查中显示,77%的受访企业使用开构建内部应用程序,69%的受访企业使用开组件来创建客户应用程序,69%的企业表示开能够为其基础架构提供动力。受访的企业中有48%表示,他们组织中为开贡献力量的人数正在增加。 GitHub目前拥有超过2400万用户和超过2500万个公共仓库。在许多领域中,开项目已成为主导技术,希望让自己保持和最新技术同步的IT专业人员至少需要熟悉这些工具。根据目前的趋势,这里列出十个2019年最重要的开工具: 一、Docker DevOps和云计算的双重趋势极大地增加了人们对容器技术的兴趣,Docker是容器技术中的领军者,在2
鸭子雷达「Black Duck Radar」-crx插件
03-09
此扩展显示了关于组件的许可证、漏洞和鸭子Hub信息。 Black Duck Radar是Google Chrome网络浏览器的扩展程序,可在Google网络商店中使用,以帮助开发人员搜索要使用的OSS组件。 Radar提供有关策略违规和安全漏洞的有见地的信息,以影响正确的FOSS选择。 需要:Black Duck v2018.12.0及更高版本 支持语言:English (United States)
Jenkins+SVN+Ant持续集成环境配置笔记.pdf
05-31
Jenkins+SVN+Ant持续集成环境配置笔记 笔记内容为个人搭建环境流程
Blackduck
davidliuzkw的博客
01-18 4633
官方解释,很清楚: 鸭 Hub 可持续扫描您的代码来识别具 体的开库和版本。通过从国家漏洞数据库 (NVD) 和更全面、更及时的漏洞数据库 VulnDB 中定期更新,鸭® 知识库™ 将开库与有关漏洞、许可、社区活动和版本的元数据进行映 射。 鸭 Hub 持续扫描您的项目以发现新引入的开,帮助您管理安全漏洞,以防它们演变成 问题。通过它,您可以查看漏洞并进行优先排序,指定修复日期,并追...
jenkins】CICD实践,git+maven+synopsys detect(blackduck)+shell+trigger+jmeter+python集成自动化安全扫描扫描结果邮件自动发送
baidu_31295661的博客
07-01 924
到此,一次完整的CICD扫描过程已完成,如果需要定时批量构建 。可再添加个流水线job,使用pipeline脚本管理调度。分享不易,有更高效方法欢迎沟通交流
Code Sight with Black Duck SCA
baidu_31295661的博客
02-11 555
Code Sight with Black Duck SCA
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值