SonarQube 的安全扫描依赖项

【问题标题】:Security scan dependencies with SonarQubeSonarQube 的安全扫描依赖项
【发布时间】:2021-01-29 21:30:40
【问题描述】:

我是 SonarQube 的新手。

我正在使用 SonarQube 对我的 Java 源代码进行安全扫描。我还在使用 Trivy 对我的 Docker 容器进行安全扫描,我在其中打包 Java 应用程序以进行部署。

我在 JBoss 和 Tomcat Web 服务器上部署我的代码。

所以,我让 SonarQube 对我的源代码进行安全扫描,让 Trivy 对我的 Docker 映像进行安全扫描,但现在我需要一些东西来安全扫描我的代码的依赖项 (JAR)。

SonarQube 能否扫描依赖项 Apache 库并报告哪些依赖项包含安全流并需要用较新的版本替换?如果是,怎么做?

【问题讨论】:

    标签: sonarqube


    【解决方案1】:

    我认为dependency-check 项目就是您所追求的;有 Grade 和 Maven 插件使其使用更容易,并且可以与 SonaqQube 集成。

    【讨论】:

      猜你喜欢
      • 2018-12-21
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2019-08-12
      • 1970-01-01
      • 2020-11-26
      • 2018-12-13
      • 2017-12-06
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode