![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
DevOps
huchao_lingo
这个作者很懒,什么都没留下…
展开
-
SonarQube集成阿里p3c代码规范实现SAST
因为我们公司后端主用的是java语言,在进行sonar代码检测的时候默认使用的是sonar检测规则,种种原因最后需要使用阿里的p3c代码规范来进行检测java代码;重启后可以看到sonar-pmd-plugin插件已经加载了。sonarqube 9.x是没有集成p3c代码规范的。打完包后在当前目录的target目录会有一个。"包,需要将其下并放到sonarqube的。#编译打包 需要有maven环境。目录下然后重启sonar加载插件。一、下载p3c-pmd插件。原创 2024-07-16 10:12:44 · 83 阅读 · 0 评论 -
Jenkins整合Owasp DependencyCheck实现SCA
对于新增issue来说,Critical的达到1个,或者High的达到1个,就Unstable;注意执行顺序,先执行dependency-check,再执行sonarQube Scanner,因为sonar插件不会进行依赖扫描,需要通过dependency-check扫描完成后,读取配置文件,然后在页面展示的。然后根据收集的依赖项信息与本地的CPE&NPM库数据进行对比,如果检查发现扫描的组件存在已知的易受攻击的漏洞则标识,最后生成报告进行展示。而且该工具还是OWASP Top 10的解决方案的一部分。原创 2024-07-16 10:10:04 · 434 阅读 · 0 评论