我们使用Jenkins和OWASP DependencyCheck https://owasp.org/www-project-dependency-check/的Sonar插件的组合。在Jenkins中的管道构建期间生成的HTML和JSON报告,也可以在Sonar中的Project>More>Dependency Check中看到HTML报告,但漏洞(CVEss)不再在Sonar中的Project>Issues>Security Category>OWASP Top 10中列出。过去我们可以看到那里的CVE。
有什么变化吗?
我们能够看到他们之前一样,在下面的截图显示
的数据
使用的依赖性检查版本
Jenkins Dependency Check plugin: 5.4.0
Sonar Dependency check plugin: 3.0.1
字符串
我读到了这个https://sonarsource.atlassian.net/browse/SONAR-11970,但不确定这是否是现在出现在OWASP前10名类别下的CVE背后的原因。
1条答案
按热度按时间cqoc49vn1#
我修复了这个问题,我在Jenkins中使用的依赖检查版本存在兼容性问题。降级依赖项检查版本修复了该问题。