我已经通过以下配置在TFS中实现了SonarQube和依赖检查任务:
1。准备对SonarQube任务的分析
sonar.cs.vstest.reportsPaths=**/*.trx
sonar.cs.vscoveragexml.reportsPaths=**/*.coveragexml
sonar.cfamily.build-wrapper-output=$(Build.SourcesDirectory)
sonar.cfamily.threads=6
sonar.cfamily.cppunit.reportsPath=$(Build.SourcesDirectory)
sonar.branch.name=$(Build.SourceBranchName)
sonar.dependencyCheck.reportPath=$(Build.ArtifactStagingDirectory)\dependency-check-report.xml
sonar.dependencyCheck.htmlReportPath=$(Build.ArtifactStagingDirectory)\dependency-check-report.html
2。 OWASP依赖性检查任务
C:\tools\dependency-check\bin\dependency-check.bat --project "xyz" -f ALL -s "$(Build.SourcesDirectory)" -o "$(Build.ArtifactStagingDirectory)"
但在此步骤中出现错误:
[错误]无法下载图元文件: https://nvd.nist.gov/feeds/json/cve/1.0/nvdcve-1.0-modified.meta
我已经从https://www.owasp.org/index.php/OWASP_Dependency_Check下载了依赖性检查命令行插件
答案 0 :(得分:0)
我自己解决了这个问题,请参阅下文
NIST是维护所有漏洞数据的政府组织。 NVD(国家漏洞数据库)是从中获取数据的数据库。
由于当时NVD数据库已关闭,由于许多人同时对数据库进行轮询,因此我得到了此错误。