jenkins 无法在Sonar UI上的“项目”>“问题”下看到CVE(漏洞),我以前见过他们,有什么变化吗

sg24os4d  于 2023-08-03  发布在  Jenkins
关注(0)|答案(1)|浏览(99)

我们使用Jenkins和OWASP DependencyCheck https://owasp.org/www-project-dependency-check/的Sonar插件的组合。在Jenkins中的管道构建期间生成的HTML和JSON报告,也可以在Sonar中的Project>More>Dependency Check中看到HTML报告,但漏洞(CVEss)不再在Sonar中的Project>Issues>Security Category>OWASP Top 10中列出。过去我们可以看到那里的CVE。
有什么变化吗?
我们能够看到他们之前一样,在下面的截图显示


的数据
使用的依赖性检查版本

Jenkins Dependency Check plugin: 5.4.0
Sonar Dependency check plugin: 3.0.1

字符串
我读到了这个https://sonarsource.atlassian.net/browse/SONAR-11970,但不确定这是否是现在出现在OWASP前10名类别下的CVE背后的原因。

cqoc49vn

cqoc49vn1#

我修复了这个问题,我在Jenkins中使用的依赖检查版本存在兼容性问题。降级依赖项检查版本修复了该问题。

相关问题