sonarQube集成dependency-check

已于 2023-04-25 18:48:01 修改
阅读量2.2k 收藏 1
点赞数 1
分类专栏: sonarQube 文章标签: java maven
于 2023-04-23 17:37:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71845127/article/details/130325662
版权

sonarqube集成dependency-check对项目中的依赖进行扫描分析

1.sonarqube添加插件:sonar-dependency-check

参考下载链接:https://github.com/dependency-check/dependency-check-sonar-plugin

2.安装插件

将插件放在sonarqube安装目录的/extensions/plugins下,然后重启sonarqube

安装成功后可以在配置中看到

3.项目生成报告

(1)下载dependency-check-7.0.0-release.zip,解压即可

进入dependency-check/bin/,执行命令

下载地址:Releases · jeremylong/DependencyCheck · GitHub

windows:dependency-check.bat

linux:dependency-check.sh

例如:dependeny-check.bat --project projectName -s F:\irms -o F:\irms\target

-s:需要扫描的jar包位置

-o:dependency-check-report.html存放位置

其余参数配置可参考官方文档:

dependency-check-cli – Command Line Arguments

(2) sonar-project.properties增加以下配置:

sonar.dependencyCheck.htmlReportPath=./dependency-check-report.html

sonar.dependencyCheck.summarize=true

sonar.dependencyCheck.securityHotspot=true

对于linux系统中
可以生成html报告在target目录下(我自己这里是使用Jenkins,生成在workspace下的项目构建后的target目录下),请根据自己需要参考配置对应的参数即可

4.查看dependency-check-report.html

执行sonar-scanner,成功后查看报告查看报告

5.补充信息

(1)另外一种方式集成dependency-check,即maven项目集成,需要在maven的项目依赖你添加dependency-check相应的依赖。

(2)执行dependency-check报错可参考

https://www.cnblogs.com/happylumei/p/16733739.html

devops===》dependency-check-maven项目漏洞检查
Elaina_fang✨✨✨的博客
12-24 1601
一、OWASP dependency-check-maven插件 介绍:Dependency-Check是OWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java.NET、Ruby、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。而且该工具还是OWASP Top 10的解决方案的一部分。 Dependen
开源漏洞扫描工具(OWASP-Dependency-Check)探索
weixin_34117211的博客
04-17 8372
背景 随着公司逐渐发展壮大,网络信息安全变得越来越重要。由此激发了我们成立兴趣小组(凯京爆破小组)研究网络信息安全的欲望。然而信息安全的防范,还得从底层编码开始做起。这样依赖性扫描工具(OWASP-Dependency-Check)就进入了我们的视线,既符合我们当前的需求又使用方便简单,自然而然的成为了我们探索的对象。 简介 Dependency-Che...
dependency-check-12.1.0 更新漏洞库报错处理
最新发布
GalaxySpaceX的博客
02-21 817
dependency-check-12.1.0 更新漏洞库报错处理
探索依赖检查利器:dependency-check-sonar-plugin
gitblog_00027的博客
04-16 678
探索依赖检查利器:dependency-check-sonar-plugin 去发现同类优质开源项目:https://gitcode.com/ 在软件开发中,安全和质量是至关重要的一环。而dependency-check-sonar-plugin正是这样一款工具,它将OWASP Dependency Check的强大功能与SonarQube的代码质量管理平台完美结合,帮助开发者识别并修复项目中的潜...
依赖项检查声纳插件:将依赖项检查报告集成SonarQube
02-05
SonarQube 7.x和8.x的依赖项检查插件 将报告集成SonarQube v7.9或更高版本中。 该项目将尝试将所有代码从master分支反向移植到最后支持的LTS。 请查看或分支以获取旧的受支持版本。 关于依赖性检查 依赖关系检查是一种实用程序,它尝试检测项目依赖关系中包含的公开披露的漏洞。 它通过确定给定依赖项是否存在通用平台枚举(CPE)标识符来完成此操作。 如果找到,它将生成一个报告,链接到相关的CVE条目。 Dependency-Check支持以多种不同语言(包括Java.NET,Node.js,Ruby和Python)识别项目依赖项。 注意 这个SonarQube
Jenkins+SonarQube+Dependency-Check搭建
weixin_60712169的博客
11-08 891
修改JENKINS_PORT服务端口为自定义端口,新版本中是修改/usr/lib/systemd/system/jenkins.service 此文件中的JENKINS_PORT参数,Jenkins2.3以前的历史版本是修改/etc/sysconfig/jenkins中的参数,网上找到的多是修改此处,经实验测试修改/etc/sysconfig/jenkins文件无效,但是安装的时候确实会生成此文件。Sumbit后,在浏览器输入: http://ip:port/restart ,重启Jenkins。
dependency-checker:Dependency Checker SonarQube插件
05-22
依赖检查器 Dependency Checker SonarQube插件
sonar-dependency-check-plugin-3.0.0-SNAPSHOT.jar
09-06
sonar安全扫描插件
详解SonnarQube 集成Sonar-dependency-check-plugin​​​​​​​落地应用的方案以及安装过程中遇到的问题
liwenxiang629的博客
01-08 1043
Sonar-dependency-check-plugin​​​​​​​不执行分析,而是读取现有的 Dependency-Check 报告。使用其他可用方法之一扫描项目依赖项并生成必要的 JSON 报告,然后此插件可以使用该报告。
Sonarqube集成到Jenkins实现代码自动检测
clover661的博客
03-15 1409
如何使用Sonar把不同的代码检查工具结果直接显示在WEB页面上??详细实操如下: Sonar服务端:192.168.10.12 Sonar客户端 postgres 数据库 一、Sonar服务端用docker部署 docker pull registry.cn-shenzhen.aliyuncs.com/jbjb/csi:8.9.7-community 二、Sonarqube配置 创建项目: 创建令牌: 点击继续 选择构建技术 根据需求选择,最后复制命令行 三、scanner-cli客户端用Je
dependency-checker: SonarQubeJava依赖检查插件
资源摘要信息:"dependency-checker: Dependency Checker SonarQube插件" ...通过集成Dependency Checker SonarQube插件,开发团队能够更好地管理项目中的依赖项,及时发现和修补安全漏洞,从而提升整体应用的安全性。
Maven 构建中的安全性与合规性检查
秋元的博客
02-20 1094
在现代软件开发中,确保应用程序的安全性和合规性至关重要。随着开源软件和第三方依赖的广泛使用,构建过程中对依赖的安全性和合规性检查变得尤为重要。通过构建工具,我们可以集成多种安全性和合规性检查机制,帮助开发者检测漏洞、依赖冲突、许可证合规性等问题。本文将探讨如何在中进行和检查,并介绍常见的工具和插件,帮助开发团队保持软件的安全性和合规性。随着项目的依赖不断增加,特别是第三方开源库,确保依赖库没有已知的安全漏洞是至关重要的。是一个用于分析项目依赖的工具,能够检查所使用的依赖库是否存在已知的安全漏洞。它基于。
org.sonarsource.php,声纳扫描器设置为多模块项目的单独依赖检查报告
weixin_31614747的博客
03-11 444
我有多模块项目设置 . 由于我的项目没有设置Jenkins / Maven,我使用CLI分别获取每个模块的依赖关系报告,并将它们复制到根据其模块命名的根项目文件夹例如:D: MyProject--module1--src--module2--src--dependency-check-module1-report--dependency-check-report (XML)--dependency...
Java项目sonar,denpendency-check,infer扫描集成
wergh_2008的博客
01-03 987
Java项目sonar,denpendency-check,infer集成
OWASP Dependency-Check工具集成
weixin_45131349的博客
02-25 2309
OWASP Dependency-Check工具集成 SonarQube 插件不执行分析,而是读取现有的 Dependency-Check 报告,先要通过Jenkins插件去执行扫描,然后sonar里面再分析报告 一、搭建本地NVD Mirror库 1、搭建nvd库: 官方提供了对应jar包来作为mirror的服务,具体github地址: https://github.com/stevespringett/nist-data-mirror/ 1)下载release jar包,如需定制请自行改写代码 2)服务
SonarQube踩坑:本地利用maven进行代码SonarQube静态扫描
Dreamer
04-13 1198
SonarQube内置ElasticSearch内存不够- 解决办法:修改内存配置大小- 查询当前配置内存:sysctl -a | grep vm.max_map_count- 更改内存大小:sysctl -w vm.max_map_count=262144。
dependency-check-maven安全漏洞扫描工具介绍
热门推荐
Java技术栈,分享不断学习、不断超越、不断积累的历程!
05-03 1万+
目录dependency-check-maven安全漏洞扫描工具介绍dependency-check-maven插件重点参数解析运行命令检查单个maven工程安全漏洞检查多个maven子工程汇总一个报告扫描报告示例 dependency-check-maven安全漏洞扫描工具介绍 dependency-check官网下载地址: https://owasp.org/www-project-dependency-check 这个工具支持多种方式,本文主要介绍使用maven插件的使用方式 dependency-c
代码依赖包安全漏洞检测 (OWASP) Dependency Check
loujun2016的博客
04-07 7818
构建DevSecOps过程中,代码依赖成分管理是一个较为头疼的事情,在某个甲方时自研了一套SCA的软件成分管理工具,由于功能做的比较重,在新公司并不适用。于是找到了OWASP开源的代码依赖扫描工具 以下有部分内容为摘抄自其它博客 此帖目的为记录遇到的问题 集成到idea工具时出现的问题一:Unable to download the NVD CVE data; the results may not include the most recent CPE/CVEs from the NVD. 问题.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值