sonar 扫描vue目录_DevOPS | 安全测试只做代码静态扫描是不够的,还需要做这个

最新推荐文章于 2023-07-14 18:04:18 发布
最新推荐文章于 2023-07-14 18:04:18 发布
阅读量506 收藏
点赞数
文章标签: sonar 扫描vue目录

我们写的程序的安全,除掉代码本身的安全之外,还包括我们代码所依赖的三方jar包的安全,所以我们在日常的质量保障中, 也需要把此纳入检查范围。下面我们主要介绍下使用OWASP Dependency-check进行三方依赖安全检查的基本方法。

与Maven集成

Dependency check与Maven的集成比较简单,我们直接修改pom,增加如下配置:

......org.owasp dependency-check-maven 5.2.1check6......org.owasp dependency-check-maven 5.2.1aggregate

然后直接调用如下命令

mvn dependency-check:check

执行完成之后,会在target目录生成html格式的报告。

注意我们有如下的配置:

6

意思是如果发现的CVS错误有6个或者以上时,构建的结果即为失败。

与Jenkins的集成

  • 首先安装OWASP Dependency Check插件:
3a3be44a569c4656f8aee94da6fe7e77.png
  • 然后在“全局工具管理”里面新增一个Dependency-check的实例:
fc4068f3b9c137383bc0f538bb3db9e8.png
  • 新建一个自由类型的项目
  • 构建里面先调用Maven进行打包:
19e58296f8e4b8f4a636fb43da52d86f.png
  • 然后构建里面选择“invoke dependency-check”:
e91a4ff6bff4cb93e54f591790d4e45a.png
  • 新增构建后操作
17084800fe3ffc7f66fd97349be7b5e3.png
  • 点击Risk Gate Thresholds可以设定在整体缺陷个数或者新增缺陷个数是多少的情况下,把构建结果设置为Unstable或者Fail。比如:
eee59e351e955474cf8c850ae75dd06b.png

对于issue总数来说,Critcal的达到2个,或者High的达到2个,就Unstable;Critical的达到10个,或者High的达到10个,就Fail;对于新增issue来说,Critical的达到1个,或者High的达到1个,就Unstable;Critical的达到5个,或者High的达到5个,就Fail。

  • 保存后,点击立即构建。然后就是漫长的构建过程。构建完成之后,我们可以在jenkins的结果页查看其趋势:
e8419185826f881b27c170b94fc2fc69.png
  • 点击某次具体构建之后可以查看此次构建的Dependency check结果详情:
9a2b2d336944fda250a3e84589d030f5.png
  • 点开后可以查看具体的违规原因:
64cdb2386c0d9eb3deb101cc04a9121e.png

与Sonar的集成

与sonar的集成主要是依靠插件:https://github.com/dependency-check/dependency-check-sonar-plugin,这里需要特别说明下,本插件并不做Dependency-check的分析,而是依赖已经生成的Dependency-check的结果,然后在sonar上进行展示。

  • 首先我们从https://github.com/dependency-check/dependency-check-sonar-plugin/releases下载最新的jar包,然后上传到sonar的extensions目录下。对应DevOPS | 代码静态扫描工具SonarQube的安装和初步使用 的目录为/sonar/extensions/plugins,并重启sonarqube
  • 然后根据上文的介绍配置运行Dependency-check插件进行检查和输出报告,我们需设置输出所有格式的报告:
5bab39fcc21cd8cf7d481f4d51386d6a.png
  • 然后根据基于Gitlab、Sonarqube和jenkins的代码静态扫描 介绍的步骤配置进行代码进行代码扫描,并添加如下配置信息:
sonar.dependencyCheck.reportPath=${WORKSPACE}/dependency-check-report.xmlsonar.dependencyCheck.htmlReportPath=${WORKSPACE}/dependency-check-report.htmlsonar.dependencyCheck.summarize=true
  • 构建完成之后,我们即可在sonar里面查到到Dependency-check查出来的问题:
d6af9a35b2b892a76ecd34ecc4652392.png
  • 同时sonar里面也增加了对Dependency-check报告的链接:
613ca5312a1706cfca70965e6a765352.png
b3c567c03682718afc116eed688aeae1.png

加速CVE数据下载

上面我们提到,在使用Dependency check进行检查的时候,首先需要花费一定的时间从NVD(NATIONAL VULNERABILITY DATABASE)中下载CVE数据。一个可以优化的方案就是在本地建立NVD的镜像,然后从此镜像下载。

  • 首先我们从https://github.com/stevespringett/nist-data-mirror下载最新的jar
  • 然后上传到服务器,使用如下命令进行镜像:
java -jar nist-data-mirror.jar
  • 为了保证本地镜像数据库的及时性,可以使用crontab添加一个镜像任务
  • 镜像完成之后记得使用apache或者nginx开通web服务以提供http访问镜像功能
  • 然后在jenkins的构建里面指定如下参数即可:
--cveUrlModified http://192.168.10.32:81/nvdcve-1.0-modified.json.gz--cveUrlBase http://192.168.10.32:81/nvdcve-1.0-%d.json.gz
weixin_39751453
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
deploy-sonar代码扫描分析
10-09
"deploy-sonar代码扫描分析"是一个针对软件代码质量进行深度检查的过程,它通常涉及到使用SonarQube这样的工具来执行静态代码分析和复杂度计算。SonarQube是一款开源平台,专门用于持续代码质量管理,它能检测出代码...
deploy-sonar代码扫描分析工具
最新发布
03-01
SonarQube是一款强大的开源代码质量管理工具,它集成了代码静态分析、复杂度计算、代码异味检测、漏洞查找等功能,帮助开发者在软件开发过程中发现并修复代码问题,提高代码质量和安全性。在本文中,我们将深入探讨...
SonarQube-检测Vue项目代码
MoYu的博客
07-14 1148
通过SonarQube我们可以检测出项目中重复代码, 潜在bug, 代码规范,安全性漏洞等问题, 并通过SonarQube web UI展示出来。启动成功后,浏览器进入 http://localhost:9000/ ,初始登录名和密码都为admin,登录成功后可自行修改。例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。首先双击安装目录下的StartSonar.bat,运行并登录sonar(http://localhost:9000/)
vue项目采用sonarqube扫描代码
求知路上
12-15 9155
记录vue项目接入代码扫描sonarqube的安装使用过程
sonar 扫描vue目录_剑星日记——Vue+Webpack搭建篇
weixin_39965673的博客
10-21 127
安装环境:Dokcer,Node.js,Linux当登录到linux里面时出现用wget无法下载安装包时直接用linux的yum指令:yum 语法yum [options] [command] [package ...]options:可选,选项包括-h(帮助),-y(当安装过程提示选择全部为"yes"),-q(不显示安装的过程)等等。command:要进行的操作。package操作的对象。-y全...
Sonar】使用SonarQube检测Vue项目代码
m0_47420894的博客
09-04 9422
使用SonarQube检测工具检测Vue项目,附白嫖生成pdf报告功能的配置方法
sonar检测java vue项目_spring boot使用sonarqube来检查技术债务
weixin_31887421的博客
02-27 972
作为代码质量检查的流行工具,比如Sonarqube能够检查代码的“七宗罪”,跟代码结合起来能够更好地提高代码的质量,让我们来看一下,刚刚写的Springboot2的HelloWorld的代码有什么“罪”。SonarqubeSonarqube可以使用docker版本快速搭建,可以参看一下Easypack整理的镜像,具体使用可以参看如下链接,这里不再赘述:环境假定本文使用到的sonarqube为本机3...
maven集成sonar5.6.7进行代码扫描所用的pom文件
11-29
maven集成sonar5.6.7进行代码扫描所用的pom文件 maven集成sonar5.6.7进行代码扫描所用的pom文件 maven集成sonar5.6.7进行代码扫描所用的pom文件
sonar_fisher.zip_fisher_fisher sonar_sonar_sonar_fisher_sonar数据f
07-15
这个压缩包"sonar_fisher.zip"包含了与模式识别相关的资源,特别是使用Fisher线性判别分析(Fisher's Linear Discriminant Analysis, FDA)对Sonar数据进行分类的研究。 **Fisher线性判别分析(FDA)**: Fisher...
使用jenkins+sonar进行代码扫描,并发送自定义邮件.docx
06-22
【使用Jenkins+Sonar进行代码扫描并发送自定义邮件】是软件开发中自动化质量管理和持续集成的一个重要实践。这个过程通常包括以下步骤: 1. **Jenkins架构**: - **Master节点**:主要负责任务调度,不直接执行...
sonar 扫描vue目录_徒手撸个vue项目框架(上)
weixin_39709178的博客
10-27 179
写这篇文章的目的,更多是让自己更熟悉vue-cli脚手架创建项目的依据和项目结构,其次是希望我的学习过程可以帮到有疑惑的同学,有什么错误还希望可以得到指教为什么要分上、下,因为最近学习react.js,发现项目框架除了使用的js库不同(vue.js、react.js),配置基本上是大同小异的这也是我占坑(脸大)的理由徒手撸个vue项目框架(上)徒手撸个vue项目框架(下)徒手撸个react项目框架...
sonarQube安装使用介绍、扫描Vue代码
abs_botton的博客
07-19 5896
本文将介绍如何安装sonarQube7.8环境以及sonar-scanner,扫描本地前端代码
Jenkins集成SonarQube扫描maven与vue项目
刘李404not_found的博客
09-11 2939
SonarQube 8.4.2代码质量检测平台搭建:https://blog.csdn.net/qq_39680564/article/details/108338161 一、Jenkins配置 1.1、SonarQube Scanner for Jenkins插件 插件中心,搜索安装即可 1.2、SonarQube servers配置 Manager Jenkins → Configure System → SonarQube servers 只要填 Name 和 Server URL 即可,token
如何将 SonarQube和 SonarScanner 扫描vue项目bug?
Meta.Qing的博客
09-27 1909
是一款用于代码质量管理的开源工具,它主要用于管理源代码的质量。通过插件形式,可以支持众多计算机语言,比如 java, C#, go,C/C++, PL/SQL, Cobol, JavaScrip, Groovy 等。sonar可以通过PMD,CheckStyle,Findbugs等等代码规则检测工具来检测你的代码,帮助你发现代码的漏洞,Bug等。
SonarQube 9.x与Jenkins进行集成并扫描后端java以及前端vue代码
qq_44930876的博客
12-02 2648
SonarQube 9.x与Jenkins进行集成并扫描后端java以及前端vue代码
vue项目打包踩坑记
Ctp789456的博客
09-24 294
基于webpack+vue-cli下的vue项目打包命令是npm run build,等待打包完成后在根目录生成dist文件夹,里面包含了所有项目相关的内容。 注意:需要完整版的vue-cli项目,即通过vue init webpack初始化的项目才可以,通过vue init webpack-simple初始化的项目没有打包文件,无法打包。目录结构如下 vue init we...
sonar 扫描vue目录_vue-cli3 项目从搭建优化到docker部署
weixin_39586825的博客
10-27 234
项目地址 vue-cli3-project 欢迎 star 原文地址 https://www.ccode.live/lentoo/list/9?from=art1. 创建一个vue项目 相信大部分人都已经知道怎么创建项目的,可以跳过这一节,看下一节。1.1 安装@vue/cli# 全局安装 vue-cli脚手架 npm install -g @vue/cli等待安装完成后开始下一步1.2 初始化...
静态代码扫描工具java_静态代码扫描工具 - sonarQube (四) - 扫描 java 项目
05-13
在上一篇文章中,我们介绍了如何安装 SonarQube 和 SonarScanner,并扫描了一个 C# 项目。本文将介绍如何扫描 Java 项目。 ## 准备工作 首先,我们需要安装 Java 环境。可以从官方网站上下载并安装 JDK。 另外,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值