1.在自己项目中的pom.xml中加入对应的dependency和plugin。
pom.xml文件
<dependency>
<groupId>org.owasp</groupId>
<artifactId>dependency-check-maven</artifactId>
<version>6.1.5</version>
</dependency>
<plugin>
<groupId>org.owasp</groupId>
<artifactId>dependency-check-maven</artifactId>
<version>6.1.5</version>
<executions>
<execution>
<goals>
<goal>check</goal>
</goals>
</execution>
</executions>
<configuration>
<!-- Generate all report formats -->
<format>ALL</format>
<!-- Don't use Nexus Analyzer -->
<centralAnalyzerEnabled>false</centralAnalyzerEnabled>
<!-- Am I the latest version? -->
<versionCheckEnabled>true</versionCheckEnabled>
</configuration>
</plugin>
2.在命令行中执行 mvn clean compile dependency-check:check,即可。
3.在sonarqube中安装dependency-check插件
dependency-check插件下载地址:dependency-check
下载使用以下命令生成jar包
> $ mvn clean package
将插件放入sonarqube的插件目录$SONAR_INSTALL_DIR/extensions/plugins,并且重启sonarqube
4.执行以下命令将dependency-check报告上传到sonarqube
mvn sonar:sonar -Dsonar.dependencyCheck.jsonReportPath=target/dependency-check-report.json -Dsonar.dependencyCheck.xmlReportPath=target/dependency-check-report.xml -Dsonar.dependencyCheck.htmlReportPath=target/dependency-check-report.html
注:sonar-maven-plugin的版本需要在3.6以上。
<plugin>
<groupId>org.sonarsource.scanner.maven</groupId>
<artifactId>sonar-maven-plugin</artifactId>
<version>3.6.0.1398</version>
</plugin>
5.在sonarqube中查看dependency-check报告。
在sonarqube控制台找到对应的项目,然后点击更多,点击Dependency-Check即可看到报告。
原文地址:https://www.cnblogs.com/overcoming/p/15547562.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。