为什么sonaqube没有找到jsp漏洞

时间:2016-09-04 10:04:30

标签: jsp sonarqube

我写了一个非常简单的JSP来测试sonarqube。它包含以下行:

var controlForm = $('.controls .d1:first'),

正如以下链接所述,sonarqube应该识别这两个漏洞 - >使用JSP表达式和动态包含。但我从sonarqube那里得到的这个JSP文件中没有任何错误。

https://sonarqube.com/coding_rules#rule_key=Web%3AJspScriptletCheck

https://sonarqube.com/coding_rules#rule_key=Web%3ADynamicJspIncludeCheck

我使用sonarqube-6.0和sonar-scanner-2.7。另外,我在sonar-project.properties中添加了以下行: sonar.web.file.suffixes = html的,.xhtml,的.rhtml,的.shtml,.JSP

1 个答案:

答案 0 :(得分:0)

您应该小心,因为您所谈论的两条规则是SonarQube Web插件(http://docs.sonarqube.org/display/PLUG/Web+Plugin)的一部分,该插件不属于默认的SonarQube发行版。您需要显式安装此插件并激活这两个规则以获得预期的问题。