我在SonarQube上显示漏洞时遇到问题。以下是我遵循的步骤:
在SonarQube上安装了dependency-check-sonar-plugin 1.0.3版。
配置信息中心以包含漏洞widjet。
生成的依赖关系报告使用:mvn org.owasp:dependency-check-maven:1.3.6:check -Dformat = XML。
报告已放入[project] /target/dependency-check-report.xml
Ran声纳任务:org.codehaus.mojo:sonar-maven-plugin:2.3:声纳 任务已成功完成,但我没有看到Vulnerabilities widjet中的数据。 任何人都知道什么可以阻止插件看到报告?
提前致谢! 拉达
答案 0 :(得分:3)
为了解决这个问题,我联系了该插件的创建者Steve Springett。他对如何配置插件有很好的端到端examples。
我将<sonar.dependencyCheck.reportPath>${dependency.check.report.dir}/dependency-check-report.xml</sonar.dependencyCheck.reportPath>添加到我的pom的属性中并使用以下两个插件:
<plugin>
<groupId>org.codehaus.mojo</groupId>
<artifactId>sonar-maven-plugin</artifactId>
<version>2.6</version>
</plugin>
<plugin>
<groupId>org.owasp</groupId>
<artifactId>dependency-check-maven</artifactId>
<version>1.3.1</version>
<configuration>
<format>XML</format>
<outputDirectory>${dependency.check.report.dir}</outputDirectory>
</configuration>
</plugin>