Jenkins整合Owasp DependencyCheck实现SCA

huchao_lingo2024-07-21 0:33

简介

Dependency-Check 是 OWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。

目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序并为C/C++构建系统(autoconf和cmake)提供了有限的支持。

而且该工具还是OWASP Top 10的解决方案的一部分。

Dependency-Check 支持面广(支持多种语言)、可集成性强,作为一款开源工具,在多年来的发展中已经支持和许多主流的软件进行集成

比如:命令行、Ant、Maven、Gradle、Jenkins、Sonar等;具备使用方便,落地简单等优势。

DependencyCheck 实现原理

依赖性检查可用于扫描应用程序(及其依赖库),执行检查时会将 Common Platform Enumeration (CPE)国家漏洞数据库及NPM Public Advisories库下载到本地,再通过核心引擎中的一系列分析器检查项目依赖性,收集有关依赖项的信息。

然后根据收集的依赖项信息与本地的CPE&NPM库数据进行对比,如果检查发现扫描的组件存在已知的易受攻击的漏洞则标识,最后生成报告进行展示。

OWASP Dependency-Check | Jenkins plugin

Owasp DependencyCheck插件安装

● 只要在Jenkins中安装OWASP Dependency-Check Plugin即可

● 在build阶段maven/ant执行后,sonar执行前进行DependencyCheck

● 需要勾选在Advanced中勾选Generate optional HTML report以及Generate optional vulnerability report (HTML),否则sonarqube只有结果无具体报告

● 需要在sonar的配置中指定dependencyCheck的报告路径

OWASP Dependency-Check | OWASP Foundation

https://github.com/jeremylong/DependencyCheck/releases/download/v9.0.7/dependency-check-9.0.7-release.zip

Jenkins job集成 Dependency-check

在Jenkins"全局工具管理"里面新增一个Dependency-check的实例:

job构建里面选择"invoke dependency-check":

复制代码 
#sonar工程标识,随意输入不重复有代表意义即可`
`sonar.projectKey=${JOB_NAME}` 

`#sonar工程标识,随意输入不重复有代表意义即可`
`sonar.projectName=${JOB_NAME}` 

`#sonar工程版本号`
`sonar.projectVersion=1.0` 

`#源代码路径,依据需要可在$WORKSPACE后加入目标路径,缩小分析范围;`
`sonar.sources=$WORKSPACE`

`#class文件路径,依据需要可在$WORKSPACE后加入目标路径,缩小分析范围;`
`sonar.java.binaries=$WORKSPACE`

`sonar.exclusions=**/test/**,**/target/**`

`sonar.java.source=8` 
`sonar.java.target=8`

`# Encoding of the source code. Default is default system encoding `
`sonar.sourceEncoding=UTF-8`

`sonar.dependencyCheck.reportPath=${WORKSPACE}/dependency-check-report.xml`
`sonar.dependencyCheck.htmlReportPath=${WORKSPACE}/dependency-check-report.html`
`sonar.dependencyCheck.summarize=true`
`

注意执行顺序,先执行dependency-check,再执行sonarQube Scanner,因为sonar插件不会进行依赖扫描,需要通过dependency-check扫描完成后,读取配置文件,然后在页面展示的

点击Risk Gate Thresholds可以设定在整体缺陷个数或者新增缺陷个数是多少的情况下,把构建结果设置为Unstable或者Fail。比如:

对于issue总数来说,Critcal的达到2个,或者High的达到2个,就Unstable;Critical的达到10个,或者High的达到10个,就Fail;对于新增issue来说,Critical的达到1个,或者High的达到1个,就Unstable;Critical的达到5个,或者High的达到5个,就Fail。

保存后,点击立即构建。然后就是漫长的构建过程。构建完成之后,我们可以在jenkins的结果页查看其趋势:

点击某次具体构建之后可以查看此次构建的Dependency check结果详情

在sonarQube页面查看Dependency-Check报告

相关推荐
DianSan_ERP21 小时前
电商API接口全链路监控:构建坚不可摧的线上运维防线
大数据·运维·网络·人工智能·git·servlet
呉師傅1 天前
火狐浏览器报错配置文件缺失如何解决#操作技巧#
运维·网络·windows·电脑
不是二师兄的八戒1 天前
Linux服务器挂载OSS存储的完整实践指南
linux·运维·服务器
zhangfeng11331 天前
趋动云 如何ssh登录 服务区 项目server
运维·人工智能·ssh
ZeroNews内网穿透1 天前
谷歌封杀OpenClaw背后:本地部署或是出路
运维·服务器·数据库·安全
失重外太空啦1 天前
nginx
运维·nginx
Gofarlic_oms11 天前
避免Kisssoft高级分析模块过度采购的科学评估方法
大数据·linux·运维·人工智能·matlab
田井中律.1 天前
服务器部署问题汇总(ubuntu24.04.3)
运维·服务器
大大水瓶1 天前
HAProxy 从入门到实战:负载均衡与流量管理全解析
运维·负载均衡
小马爱打代码1 天前
Docker:完全指南从入门到精通
运维·docker·容器
热门推荐
01GitHub 镜像站点02【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆03OpenClaw 使用和管理 MCP 完全指南04Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services05AI Agent 平台横评:ZeroClaw vs OpenClaw vs Nanobot06Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤07AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南08Window 10部署openclaw报错node.exe : npm error code 12809让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南10AI agent:介绍 ZeroClaw 安装,使用