Dependency-Check部署及Jenkins集成OWASP Dependency-Check Plugin

部署Dependency-Check

1、下载Dependency-Check:
https://owasp.org/www-project-dependency-check/

在这里插入图片描述

2、上传服务器并解压

在这里插入图片描述

jenkins集成Dependency-Check

1、jenkins依次选择[Manage Jenkins]->[Manage Plugins]-[可选插件]安装OWASP Dependency-Check Plugin和Analysis Model API Plugin(安装插件过程中可能会失败,重启jenkins多试几次就可以了).

在这里插入图片描述

2、jenkins依次选择[Manage Jenkins]->[Gobal Tool Configration]->[Dependency_check安装],配置安装路径。(此处也可以选择自动安装,但是我试了好几次,在生成报告的时候都会报错,因此建议选择提前独立部署好Dependency_check)

在这里插入图片描述

插件使用

1、在构建步骤选择‘增加构建步骤’,选择‘Dependency_check’

在这里插入图片描述
在这里插入图片描述

2、保存后,立即构建,项目构建成果后,报告位置在jenkins安装目录/workspace/项目名称下

在这里插入图片描述

3、下载到本地电脑,用浏览器打开

在这里插入图片描述

在sonarQube页面查看Dependency_check报告

1、下载dependency-check-sonar-plugin
https://github.com/dependency-check/dependency-check-sonar-plugin

一定要注意dependency-check-sonar-plugin与sonarQube的版本对应关系,我们部署的sonarQube是7.8,对应的dependency-check-sonar-plugin版本为1.2.x - 2.0.5。

2、将下载的sonar-dependency-check-plugin的jar包插件复制到sonarQube的extensions/plugins目录下,并且重启sonarqube

在这里插入图片描述

3、返回到jenkins页面,在需要扫描的工程中,配置owasp的报告文件路径
sonar.dependencyCheck.htmlReportPath=./dependency-check-report.html
sonar.dependencyCheck.summarize=true
sonar.dependencyCheck.securityHotspot=true

在这里插入图片描述

4、注意执行顺序,先执行dependency-check,再执行sonarQube Scanner,因为sonar插件不会进行依赖扫描,需要通过dependency-check扫描完成后,读取配置文件,然后在页面展示的

在这里插入图片描述

5、构建完成后,在sonarQube页面,选择刚刚扫描的项目,选择更多,点击Dependency-Check,即可查看报告

在这里插入图片描述

  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值