我有一个大型项目,其中包括通过 NPM/Yarn 下载依赖项的前端部分,并且正在寻找对 package.json 中定义的这些第三方依赖项的安全漏洞扫描。
我已经知道诸如 Snyk、retireJS、NSP(现在被 NPM 收购)等选项,但是想知道是否有一个不错的插件可以用来添加到 SonarQube。想法是扫描依赖项列表,使用 CVE 数据库对其进行检查,并生成一份 HTML 报告,其中包含确定每个漏洞风险级别的漏洞。
谢谢
问问题
1626 次
1 回答
1
如何使用OWASP Dependency Check并使用此插件将报告集成到 SonarQube 中?
它将使用来自 NSP 和 RetireJS 的信息进行扫描。
于 2018-12-07T09:17:11.353 回答