Jenkins整合Owasp DependencyCheck实现SCA

于 2024-07-16 10:10:04 发布
阅读量434 收藏 9
点赞数 15
分类专栏: DevOps 文章标签: jenkins 运维 SCA AST
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huchao_lingo/article/details/140458404
版权

简介

Dependency-Check 是 OWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。

目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序并为C/C++构建系统(autoconf和cmake)提供了有限的支持。

而且该工具还是OWASP Top 10的解决方案的一部分。

Dependency-Check 支持面广(支持多种语言)、可集成性强,作为一款开源工具,在多年来的发展中已经支持和许多主流的软件进行集成

比如:命令行、Ant、Maven、Gradle、Jenkins、Sonar等;具备使用方便,落地简单等优势。

DependencyCheck 实现原理

依赖性检查可用于扫描应用程序(及其依赖库),执行检查时会将 Common Platform Enumeration (CPE)国家漏洞数据库及NPM Public Advisories库下载到本地,再通过核心引擎中的一系列分析器检查项目依赖性,收集有关依赖项的信息。

然后根据收集的依赖项信息与本地的CPE&NPM库数据进行对比,如果检查发现扫描的组件存在已知的易受攻击的漏洞则标识,最后生成报告进行展示。

OWASP Dependency-Check | Jenkins plugin

Owasp DependencyCheck插件安装

● 只要在Jenkins中安装OWASP Dependency-Check Plugin即可

● 在build阶段maven/ant执行后,sonar执行前进行DependencyCheck

● 需要勾选在Advanced中勾选Generate optional HTML report以及Generate optional vulnerability report (HTML),否则sonarqube只有结果无具体报告

● 需要在sonar的配置中指定dependencyCheck的报告路径

OWASP Dependency-Check | OWASP Foundation

https://github.com/jeremylong/DependencyCheck/releases/download/v9.0.7/dependency-check-9.0.7-release.zip

Jenkins job集成Dependency-check

在Jenkins“全局工具管理”里面新增一个Dependency-check的实例:

job构建里面选择“invoke dependency-check”:

#sonar工程标识,随意输入不重复有代表意义即可
sonar.projectKey=${JOB_NAME} 

#sonar工程标识,随意输入不重复有代表意义即可
sonar.projectName=${JOB_NAME} 

#sonar工程版本号
sonar.projectVersion=1.0 

#源代码路径,依据需要可在$WORKSPACE后加入目标路径,缩小分析范围;
sonar.sources=$WORKSPACE

#class文件路径,依据需要可在$WORKSPACE后加入目标路径,缩小分析范围;
sonar.java.binaries=$WORKSPACE

sonar.exclusions=**/test/**,**/target/**

sonar.java.source=8 
sonar.java.target=8

# Encoding of the source code. Default is default system encoding 
sonar.sourceEncoding=UTF-8

sonar.dependencyCheck.reportPath=${WORKSPACE}/dependency-check-report.xml
sonar.dependencyCheck.htmlReportPath=${WORKSPACE}/dependency-check-report.html
sonar.dependencyCheck.summarize=true

注意执行顺序,先执行dependency-check,再执行sonarQube Scanner,因为sonar插件不会进行依赖扫描,需要通过dependency-check扫描完成后,读取配置文件,然后在页面展示的

点击Risk Gate Thresholds可以设定在整体缺陷个数或者新增缺陷个数是多少的情况下,把构建结果设置为Unstable或者Fail。比如:

对于issue总数来说,Critcal的达到2个,或者High的达到2个,就Unstable;Critical的达到10个,或者High的达到10个,就Fail;对于新增issue来说,Critical的达到1个,或者High的达到1个,就Unstable;Critical的达到5个,或者High的达到5个,就Fail。

保存后,点击立即构建。然后就是漫长的构建过程。构建完成之后,我们可以在jenkins的结果页查看其趋势:

点击某次具体构建之后可以查看此次构建的Dependency check结果详情

在sonarQube页面查看Dependency-Check报告

huchao_lingo
关注
  • 15
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jenkins+docker实现可持续自动化部署springboot项目
congge
04-06 1万+
jenkins+docker实现可持续自动化部署springboot项目
jenkins+docker集成harbor实现可持续集成
congge
04-14 1万+
jenkins+docker集成harbor实现可持续集成
jenkins插件之dependency-check
made4971的博客
05-22 419
可以根据实际情况,比如下载,或者通过web服务访问该页面查看报告结果。增加构建步骤 - Invoke Dependency-Check。配置Dependency-Check项,按照如下图进行配置。搜索owasp,选择Dependency-Check。进入您的项目 - 配置 - Build Steps。installation选择 全局工具配置中配置的。Dashboard – 系统管理 – 插件管理。NVD API KEY 选择凭据中配置的。点击构建,在项目目录下已经生成。注意,参数这里一行一个参数。
Dependency-Check部署及Jenkins集成OWASP Dependency-Check Plugin
weixin_44455388的博客
09-09 5293
部署Dependency-Check 1、下载Dependency-Check: https://owasp.org/www-project-dependency-check/ 2、上传服务器并解压 jenkins集成Dependency-Check 1、jenkins依次选择[Manage Jenkins]->[Manage Plugins]-[可选插件]安装OWASP Dependency-Check Plugin和Analysis Model API Plugin(安装插件过程中可能会失败
jenkins中添加sonnarqube与OWASP Dependency-Check
著名艺术家
09-20 1109
jenkins sonarqube代码检查 owasp dependency-check 漏洞扫描
Docker + Jenkins + Nginx实现前端自动化部署
热门推荐
编码世界
11-30 4万+
文章有点长,如果你是以学习的态度来看这篇文章,建议收藏起来慢慢看。 前端自动化部署一直以来概念很清楚知道怎么回事,但是其中怎么操作没怎么研究过,虽然之前环境都搭起来了,但是也只是Jenkins构建项目成功,比如提交代码之后怎么触发自动构建,打包后的文件如何迁移到指定服务器的文件目录下,流水线如何搞等等这都是我之前想想头疼也只能头疼的问题。终于还是费了点心思搞了搞自动化部署,又花了大量时间来记录这个过程。
jenkins ci/cd_DevSecOps:使用JenkinsOWASP ZAP进行CI / CD Web应用程序测试。
weixin_26746861的博客
07-17 1370
jenkins ci/cdIn a development environment, developers work on building applications using a native code language and share it on GitHub for other developers in a team to review, strengthen, and expand...
Jenkins DependencyCheck扫描Node.js程序
freflying1119的博客
10-20 904
使用Dependency Check扫描Node.js程序
实现自动化构建与集成:Jenkins与SVN整合的指南
唯有努力,方可自信!
11-04 1万+
enkins是一个流行的开源自动化服务器,可以用于构建、测试和部署软件项目。而SVN则是一个版本控制系统,可以帮助开发人员管理和协调代码。将Jenkins和SVN整合起来,可以实现自动化构建和集成,减少手动操作的错误和时间浪费。此外,整合后还可以轻松管理和跟踪代码变更,方便团队协作和版本控制。此篇文章将详细介绍如何在Jenkins中配置SVN插件,以及如何使用Jenkins集成SVN进行自动化构建和测试
jenkins集成OWASP ZAP,解决插件使用问题,无法保存配置问题。
01-26
jenkins集成OWASP ZAP,解决插件使用问题,无法保存配置问题。把zap.jar复制到jenkins插件zap文件夹下web-inf的lib中,覆盖原有zap.jar.
整合Jenkins和IBMUrbanCodeDeploy实现定制化可持续交付
02-24
DevOps是一组过程、方法与系统的统称,用于促进开发(应用程序/软件工程)、技术运营和质量保障(QA)部门之间的沟通、协作与整合。它的出现是由于软件行业日益清晰地认识到:为了按时交付软件产品和服务,开发和...
jenkins集成OWSAP ZAP插件方法
01-26
Jenkins是一款流行的自动化构建工具,通过集成OWASP ZAP插件,可以实现自动化安全漏洞扫描,提高软件开发过程中的安全性。本文将详细介绍如何在Jenkins中集成OWASP ZAP插件,实现自动化安全漏洞扫描。 一、准备工作...
jenkins整合sonarqube图文教程
07-28
前置条件:已经安装sonarqube、jenkins 步骤: 1、获取sonarqube令牌。 2、jenkins安装sonarqube插件。 3、jenkins配置sonarqube令牌及其它属性。配置构建命令。 4、验证是否成功。
Elsaticsearch java基本操作
qq_62383709的博客
07-13 649
索引 基本操作 package com.orchids.elasticsearch.web.controller; import cn.hutool.core.collection.CollUtil; import cn.hutool.json.JSONUtil; import com.orchids.elasticsearch.web.po.User; import io.swagger.annotations.Api; import io.swagger.annotations.ApiOperatio
Elasticsearch的安全特性
Dxy1239310216的博客
07-12 415
Elasticsearch作为一款功能强大的搜索引擎,其安全性同样不可忽视。通过提供基于用户名和密码的认证、基于角色的访问控制、数据加密、审计日志以及安全插件等一系列安全特性,Elasticsearch为用户提供了全方位的数据安全保障。在未来的使用中,用户应充分利用这些安全特性,确保Elasticsearch集群的安全性和数据的机密性、完整性和可用性。
Jenkins中Node节点与构建任务
Lzcsfg的博客
07-12 932
Jenkins 中,节点(Node)是指 Jenkins 用于执行构建任务的计算资源。节点的主要作用是提供构建和测试任务的运行环境。通过使用多个节点,Jenkins 可以分布式地执行构建任务,从而提高效率和并行处理能力。
Jenkins用户权限管理指定操作任务
最新发布
草莓甜甜圈的博客
07-15 209
Jenkins 的管理插件中进行插件安装。在全局安全配置中,把授权策略改为Role-Based Strategy。
使用Elasticsearch与Java进行全文搜索
weixin_53840353的博客
07-11 740
本文详细介绍了如何使用Java与Elasticsearch进行全文搜索。我们从环境准备开始,逐步讲解了如何连接到Elasticsearch、创建索引、索引文档和进行搜索。通过这些步骤和代码示例,你应该能够开始在自己的项目中使用Elasticsearch进行全文搜索。希望这篇文章对你有所帮助!
owasp zap jenkins
12-23
OWASP ZAP 是一个开源的跨平台的应用程序渗透测试工具,旨在帮助开发人员和安全测试人员查找应用程序中的安全漏洞。它可以被集成到Jenkins持续集成和持续交付流程中,使安全测试可以自动化执行。Jenkins是一个自动化的开源的持续集成和持续交付工具,可以帮助开发团队持续地将代码集成、构建和部署到生产环境中。 通过将OWASP ZAP集成到Jenkins中,开发团队可以在应用程序构建过程中自动运行安全测试,以便及早发现和修复潜在的安全漏洞。这种集成可以大大提高应用程序的安全性,减少在生产环境中发现安全漏洞的风险和成本。 此外,OWASP ZAP Jenkins插件还可以生成详细的测试报告,包括发现的漏洞类型、位置和严重程度,这样开发团队就可以及时了解到应用程序的安全状况,并采取相应的措施来解决问题。 总之,OWASP ZAP Jenkins集成的好处是通过自动化安全测试来提高应用程序的安全性,同时减少团队在发现和修复安全漏洞上的工作量和风险。它使安全测试与开发流程更加紧密地结合,从而使团队能够更快速、更可靠地交付安全的软件产品。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值