SonarQube の
インストール、
前提
以下の
OS
% sw_vers ProductName: Mac OS X ProductVersion: 10.12.6 BuildVersion: 16G29
SonarQubeの
Version
SonarQube 6.5
Plugin 紹介ページと Github repository への リンク
以下、
* Plgin紹介ページ
OWASP Dependency-Check - SonarQube Plugins
- Githubリポジトリ
stevespringett/dependency-check-sonar-plugin: Integrates OWASP Dependency-Check reports into SonarQube
OWASP Dependency-Check とは
OWASP Dependency-Check は、
この
以下、
Owasp Project の 説明への リンク
OWASP Dependency Check 自体の 説明
Cheat Sheet 文書 への リンク
前提
SonarQube の
私は、
maven plugin 自体の
OWASP Dependency-check-mavenを
使ってmavenで 管理している 依存ライブラリの 脆弱性を スキャン - Qiita Mavenで
OWASP Dependency Checkに よる Javaライブラリの 脆弱性を チェックする - 覚えたら 書く
上記に記載されている 内容と 重複しますが、 SonarQube の plugin の 入力ファイル作成の ため pom に 設定した 記述を 載せて おきます。
pom.xml の 抜粋
以下の
<build> <plugins> <!-- dependency-check-maven --> <plugin> <groupId>org.owasp</groupId> <artifactId>dependency-check-maven</artifactId> <version>2.1.0</version> <configuration> <format>XML</format> </configuration> <executions> <execution> <goals> <goal>check</goal> </goals> </execution> </executions> </plugin> </plugins> </build>
インストール
目下 version 6.x 向けに
git リポジトリを
リポジトリを
cloneする git clone https://github.com/stevespringett/dependency-check-sonar-plugin.git
コンパイル
Junitテストでcd dependency-check-sonar-plugin mvn clean package
exception が 出力されますが、 BUILD SUCCESS します。 plugin jar ファイルを
SonarQube の extention ディレクトリに コピー
私が使用している Macでは 以下が、 extention ディレクトリと なります。
環境に応じて 読み替えてください。 コピー後は、cd target/ cp sonar-dependency-check-plugin-1.1.0-SNAPSHOT.jar /usr/local/Cellar/sonarqube/6.5/libexec/extensions/plugins/
SonarQubeを 再起動する 必要が あります。
OWASP Dependency-Check の チェック結果の 収集
コマンド実行
SonarQube 起動後に、
mvn sonar:sonar -Dsonar.dependencyCheck.reportPath=target/dependency-check-report.xml
sonar-project.properties での
それぞれ
pom.xml に
設定する
dependencies - SonarQube dependency check sonar plugin - Stack Overflowsonar-project.properties に
設定する
jenkins - Sonarqube Zapscan and Dependency Check - Stack Overflow
データ収集後の 画面表示イメージ
Issues に、
作成中の
上記、
プロジェクトリソースと
この
以上、
ソースコードメトリクスデータの
OWASP 関連だと
stevespringett/zap-sonar-plugin: Integrates OWASP Zed Attack Proxy reports into SonarQube
そちらも
以上です。
コメント