SonarQube - JS 依赖项安全漏洞扫描

Posted

技术标签:

【中文标题】SonarQube - JS 依赖项安全漏洞扫描【英文标题】:SonarQube - JS Dependencies Security Vulnerability Scanning 【发布时间】:2018-12-21 20:09:59 【问题描述】:

我有一个大型项目,其中包括通过 NPM/Yarn 下载依赖项的前端部分,并且正在寻找对 package.json 中定义的这些第三方依赖项的安全漏洞扫描。

我已经知道诸如 Snyk、retireJS、NSP(现在被 NPM 收购)等选项,但是想知道是否有一个不错的插件可以用来添加到 SonarQube。想法是扫描依赖项列表,使用 CVE 数据库对其进行检查,并生成一份 html 报告,其中包含确定每个漏洞风险级别的漏洞。

谢谢

【问题讨论】:

【参考方案1】:

使用OWASP Dependency Check 并使用this plugin 将报告集成到SonarQube 中怎么样?

它将使用来自 NSP 和 RetireJS 的信息进行扫描。

【讨论】:

以上是关于SonarQube - JS 依赖项安全漏洞扫描的主要内容,如果未能解决你的问题,请参考以下文章

用于 .Net Framework 和 .Net Core 的 TeamCity 和 SonarQube 依赖项检查器

安全测试-代码质量扫描 SonarQube

安全测试-代码质量扫描 SonarQube

SonarQube:扫描过程忽略 lcov.info

Sonarqube 安全报告:OWASP 前 10 名

如何去除sonarqube自动扫描