Jenkins整合Owasp DependencyCheck实现SCA

huchao_lingo2024-07-21 0:33

简介

Dependency-Check 是 OWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。

目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序并为C/C++构建系统(autoconf和cmake)提供了有限的支持。

而且该工具还是OWASP Top 10的解决方案的一部分。

Dependency-Check 支持面广(支持多种语言)、可集成性强,作为一款开源工具,在多年来的发展中已经支持和许多主流的软件进行集成

比如:命令行、Ant、Maven、Gradle、Jenkins、Sonar等;具备使用方便,落地简单等优势。

DependencyCheck 实现原理

依赖性检查可用于扫描应用程序(及其依赖库),执行检查时会将 Common Platform Enumeration (CPE)国家漏洞数据库及NPM Public Advisories库下载到本地,再通过核心引擎中的一系列分析器检查项目依赖性,收集有关依赖项的信息。

然后根据收集的依赖项信息与本地的CPE&NPM库数据进行对比,如果检查发现扫描的组件存在已知的易受攻击的漏洞则标识,最后生成报告进行展示。

OWASP Dependency-Check | Jenkins plugin

Owasp DependencyCheck插件安装

● 只要在Jenkins中安装OWASP Dependency-Check Plugin即可

● 在build阶段maven/ant执行后,sonar执行前进行DependencyCheck

● 需要勾选在Advanced中勾选Generate optional HTML report以及Generate optional vulnerability report (HTML),否则sonarqube只有结果无具体报告

● 需要在sonar的配置中指定dependencyCheck的报告路径

OWASP Dependency-Check | OWASP Foundation

https://github.com/jeremylong/DependencyCheck/releases/download/v9.0.7/dependency-check-9.0.7-release.zip

Jenkins job集成 Dependency-check

在Jenkins"全局工具管理"里面新增一个Dependency-check的实例:

job构建里面选择"invoke dependency-check":

复制代码 
#sonar工程标识,随意输入不重复有代表意义即可`
`sonar.projectKey=${JOB_NAME}` 

`#sonar工程标识,随意输入不重复有代表意义即可`
`sonar.projectName=${JOB_NAME}` 

`#sonar工程版本号`
`sonar.projectVersion=1.0` 

`#源代码路径,依据需要可在$WORKSPACE后加入目标路径,缩小分析范围;`
`sonar.sources=$WORKSPACE`

`#class文件路径,依据需要可在$WORKSPACE后加入目标路径,缩小分析范围;`
`sonar.java.binaries=$WORKSPACE`

`sonar.exclusions=**/test/**,**/target/**`

`sonar.java.source=8` 
`sonar.java.target=8`

`# Encoding of the source code. Default is default system encoding `
`sonar.sourceEncoding=UTF-8`

`sonar.dependencyCheck.reportPath=${WORKSPACE}/dependency-check-report.xml`
`sonar.dependencyCheck.htmlReportPath=${WORKSPACE}/dependency-check-report.html`
`sonar.dependencyCheck.summarize=true`
`

注意执行顺序,先执行dependency-check,再执行sonarQube Scanner,因为sonar插件不会进行依赖扫描,需要通过dependency-check扫描完成后,读取配置文件,然后在页面展示的

点击Risk Gate Thresholds可以设定在整体缺陷个数或者新增缺陷个数是多少的情况下,把构建结果设置为Unstable或者Fail。比如:

对于issue总数来说,Critcal的达到2个,或者High的达到2个,就Unstable;Critical的达到10个,或者High的达到10个,就Fail;对于新增issue来说,Critical的达到1个,或者High的达到1个,就Unstable;Critical的达到5个,或者High的达到5个,就Fail。

保存后,点击立即构建。然后就是漫长的构建过程。构建完成之后,我们可以在jenkins的结果页查看其趋势:

点击某次具体构建之后可以查看此次构建的Dependency check结果详情

在sonarQube页面查看Dependency-Check报告

相关推荐
Lary_Rock2 小时前
RK3576 LINUX RKNN SDK 测试
linux·运维·服务器
一坨阿亮5 小时前
Linux 使用中的问题
linux·运维
wclass-zhengge7 小时前
Docker篇(Docker Compose)
运维·docker·容器
李启柱7 小时前
项目开发流程规范文档
运维·软件构建·个人开发·设计规范
力姆泰克8 小时前
看电动缸是如何提高农机的自动化水平
大数据·运维·服务器·数据库·人工智能·自动化·1024程序员节
BPM_宏天低代码9 小时前
低代码 BPA:简化业务流程自动化的新趋势
运维·低代码·自动化
sun0077009 小时前
拷贝 cp -rdp 和 cp -a
linux·运维·服务器
wowocpp9 小时前
ubuntu 22.04 server 安装 anaconda3
linux·运维·ubuntu
tingting011910 小时前
Linux 普通用户禁用sudo su - 命令
linux·运维·服务器
IT-民工2111010 小时前
CI/CD 实践总结
运维·ci/cd·自动化
热门推荐
01【HarmonyOS】HUAWEI DevEco Studio 下载地址汇总02(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明03组基轨迹建模 GBTM的介绍与实现(Stata 或 R)04【AIGC】重塑未来的科技巨轮05全面解析:构建基于深度学习的安全帽检测系统(UI界面+YOLO代码+数据集)06【经验分享】Ubuntu22.04安装微信(linux官方版)07基于YOLOv10深度学习的CT扫描图像肾结石智能检测系统【python源码+Pyqt5界面+数据集+训练代码】深度学习实战、目标检测08Ubuntu 20.04使用Livox mid 360 测试 FAST_LIO09RAG 实践- Ollama+RagFlow 部署本地知识库10红米手机使用google play