我刚刚开始尝试使用Nexus IQ服务器来扫描我的一个基于JavaScript的项目,该项目使用了npm和bower的库。
我正在使用Jenkins Nexus Platfom插件,并配置了一个构建步骤来连接到我们的Nexus IQ服务器示例。作为插件的一部分,我已经将其配置为在安装了npm和bower依赖项的已构建项目的位置中扫描JavaScript文件。
在我们的Nexus IQ服务器上生成的最终报告是巨大的,事实上它达到了它可以显示的结果的限制(10000行),因此无法显示它找到的所有内容。
我不能100%确定我在这里做的事情是否正确,并且想知道是否有人在扫描npm\bower安装的依赖项时有任何关于如何从Nexus获得合理结果的经验。
我现在正在查看许可证分析部分,可以看到超过3000行各种“不支持”的许可证威胁,这些威胁来自尚未直接包含在项目中的库,例如。在我的项目package.json文件中列出,但我猜这些是我指定要安装的库的子依赖项。
有没有人能提供一些建议,让Nexus IQ处理依赖于npm\bower依赖项的JavaScript项目的最佳方法?
1条答案
按热度按时间mzaanser1#
NexusIQ分析项目所需的全部内容是:
package-lock.json标识所有依赖关系,包括可传递依赖关系package.json构建依赖树(否则不可用)当在应用程序上执行手动操作
Evaluate a file时,这就足够了。对于jenkins插件步骤,配置它,例如具体如下:
字符串
请参阅:使用Jenkins插件进行分析的步骤