我有一个大型项目,其中包括一个前端部分,可通过NPM / Yarn下载依赖项,并且正在寻找安全漏洞扫描程序,以扫描package.json中定义的这些第三方依赖项。
我已经知道Snyk,retireJS,NSP(现在由NPM收购)之类的选项,但是我想知道是否有一个不错的插件可以用来添加到SonarQube中。想法是扫描依赖项列表,使用CVE数据库进行检查,并生成带有漏洞的HTML报告,以识别每个漏洞的风险级别。
谢谢
答案 0 :(得分:1)
如何使用OWASP Dependency Check并使用this plugin将报告集成到SonarQube中?
它将使用NSP和RetireJS的信息进行扫描。