Sonarqube 安全报告:OWASP 前 10 名

Posted

技术标签:

【中文标题】Sonarqube 安全报告:OWASP 前 10 名【英文标题】:Sonarqube security reports : OWASP Top 10 【发布时间】:2019-10-19 22:29:06 【问题描述】:

是否可以在每次扫描后保留一份安全报告 OWASP Top 10,以便我可以识别两个版本之间的 OWASP 漏洞增量?

Sonarqube GUI 仅提供最后一次扫描的安全报告

感谢您的建议

【问题讨论】:

您使用的是哪个 sonaqube 版本? 我什至没有在 Sonarqube 7.9 上找到“安全报告”菜单。我非常需要这份 OWASP Top 10 报告。你能告诉我我错过了什么吗! 您需要将 sonar-xanitizer-plugin-X.X.X.jar 添加到您的 sonarqube-X.X/extensions/plugins 文件夹中 @FuSsA 这是不是像现在这个菜单不支持内置而不添加提到的插件?而且这个插件的最新版本只支持 SonarQube 7.3。请告诉我我可以通过什么方式获得安全报告(OWASP Top 10 -a1 to a10)。 @FuSsA 我能够使用这些安全规则扫描代码,但我无法看到 Owasp 10 的 reports.direct。这不起作用,因为我有一个不支持的 sonarQube 社区版支持该报告的功能。现在我们只能在 EE 或 DCE 中看到“安全报告”。看到这个 - google.com/url?q=https://www.sonarqube.org/sonarqube-7-9-lts/… 【参考方案1】:

我能够在每次扫描后使用 web api 来实现我的目标,如下例所示:

http://0.0.0.0:9099/api/issues/search?componentKeys=com.test&facets=owaspTop10&owaspTop10=a1,a2,a3,a4,a5,a6,a7,a8,a9,a10

【讨论】:

以上是关于Sonarqube 安全报告:OWASP 前 10 名的主要内容,如果未能解决你的问题,请参考以下文章

OWASP TOP 10 – 终极漏洞指南(2021)

playframework owasp 前 10 名

SonarQube 5.6.6:错误 OWASP ZAP 和依赖检查插件

正则表达式在 SonarQube 报告中被标记为安全热点

OWASP TOP 10(OWASP十大应用安全风险)

owasp 十大漏洞中的 ZAP 警报分类