Jenkins DependencyCheck扫描Node.js程序

最新推荐文章于 2024-09-13 21:50:13 发布
原创 最新推荐文章于 2024-09-13 21:50:13 发布 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jenkins #node.js #运维

本文档介绍了在使用Jenkins的DependencyCheck插件扫描Node.js项目时遇到的两个问题及其解决方案。问题1是无法读取yarn audit输出,解决方法是在扫描前执行'npm install && npm run build'。问题2是无法读取pnpm audit输出,解决方法是在扫描参数中添加'--disablePnpmAudit'。同时,提供了SonarQube插件的配置示例,确保正确分析JavaScript项目。

Jenkins DependencyCheck插件扫描Node.js程序

问题1 Unable to read yarn audit output.

[DependencyCheck] [ERROR] NodeAuditAnalyzer failed on xxx/package-lock.json - yarn.lock was found; if package-lock.json was generated using synp, it may not be in the correct format.
[DependencyCheck] [ERROR] Unable to read yarn audit output.
Build step ‘Invoke Dependency-Check’ changed build result to FAILURE

解决办法

在执行DependencyCheck之前,先执行npm install && npm run build

问题2 Unable to read pnpm audit output.

[DependencyCheck] [ERROR] Unable to read pnpm audit output.
Build step ‘Invoke Dependency-Check’ changed build result to FAILURE

解决办法

在dependencyCheck 扫描参数中添加配置 --disablePnpmAudit

dependencyCheck完整的配置如下:

--project	$project
最低0.47元/天 解锁文章
【异常】Jenkins执行前端项目Npm构建时,出现报错This dependency was not found: vue-class-component in ./node_modules/vu
奶爸的编程之路,也就一周冷个三天
04-22 2644
vue-class-component是一个用于类式Vue组件的TypeScript装饰器。它允许您将Vue组件定义为类,这可以使您的代码更有组织性和易于阅读。
Jenkins整合Owasp DependencyCheck实现SCA
huchao_lingo的博客
07-16 1846
对于新增issue来说,Critical的达到1个,或者High的达到1个,就Unstable;注意执行顺序,先执行dependency-check,再执行sonarQube Scanner,因为sonar插件不会进行依赖扫描,需要通过dependency-check扫描完成后,读取配置文件,然后在页面展示的。然后根据收集的依赖项信息与本地的CPE&NPM库数据进行对比,如果检查发现扫描的组件存在已知的易受攻击的漏洞则标识,最后生成报告进行展示。而且该工具还是OWASP Top 10的解决方案的一部分。
Dependency-Check部署及Jenkins集成OWASP Dependency-Check Plugin
weixin_44455388的博客
09-09 6123
部署Dependency-Check 1、下载Dependency-Check: https://owasp.org/www-project-dependency-check/ 2、上传服务器并解压 jenkins集成Dependency-Check 1、jenkins依次选择[Manage Jenkins]->[Manage Plugins]-[可选插件]安装OWASP Dependency-Check Plugin和Analysis Model API Plugin(安装插件过程中可能会失败
dependency-check报错Failed to initialize the RetireJS repo文件解决
xxbaike的专栏
08-12 9148
0x00 dependency-check是一款OWASP官方出品的一款产品。主要功能是对jar依赖包进行漏洞扫描。他的简单工作原理是依靠强大的漏洞库,与被扫jar依赖包进行比对,输出jar包漏洞详情。所以该工具只能扫描出已经公布的漏洞,无法扫描0day漏洞。详细介绍见官网:https://owasp.org/www-project-dependency-check/ 0x01 使用一段时间下来经常会报标题的错误。下面直接来看问题,从日志中可以看到下载jsrepository.json文件失败。复制链接到
spring的依赖检查(dependency-check属性)
weixin_30885111的博客
08-09 1148
依赖检查要和自动装配结合使用,没有自动装配也就没有检查的必要了。 <beanid="HelloWorld"class="com.jnotnull.HelloWorld" autowire="autodectect"dependency-check="none"> dependency-check有四个值:none,simple,object,all。默认不检查 ...
Dependency-check
weixin_42176112的博客
02-15 5872
文章目录前言简介原理 前言 公司客户使用的是该工具扫描,与我们内部使用的工具snyk的测试结果无法对其,为了便于和客户扫描对齐也采用该工具扫描本公司的产品。本文主要记录一下工具原理简介、使用方式、报告解读及与其他工具对比等内容。本文内容来源于网络也服务于网络,起主要目的是把自己使用的一些心得体会记录一下便于自己日后使用,也能够为他人提供一点点有效参考。 简介 Dependency-Check 是OWASP(Open WebApplication Security Project) g的一个实用开源程序,用
推荐项目:dependency-check —— 确保你的依赖天衣无缝
gitblog_00003的博客
06-07 640
推荐项目:dependency-check —— 确保你的依赖天衣无缝 在快速迭代的软件开发过程中,管理好项目依赖是避免无数头痛问题的关键。为此,我们向您推荐一个开源工具——dependency-check。这个工具在2024年的春天虽然已被【knip】所取代,但其核心价值仍然值得学习和借鉴,尤其是对于那些寻求更基础依赖管理解决方案的开发者。 项目介绍 dependency-check是一个用于N...
centos7.5安装Node.js 20.5.1后报段错误(吐核)
freflying1119的博客
06-13 1622
centos7.5安装Node.js 20.5.1,编译glibc2.28,导入环境变量后,系统崩溃吐核。原因就是centos7.5不能直接Nodejs 20.5.1.
Jenkins整合Owasp DependencyCheck实现SCA 遇到的一些问题?
最新发布
03-12
- 原因:Dependency-Check需解析不同语言包(如Node.js/Python项目) - 解决方案: -Jenkins Agent中预装对应语言环境 --- ### 二、插件集成问题 1. **报告生成异常** - 现象:HTML报告空白或未生成 ...
jenkins中添加sonnarqube与OWASP Dependency-Check
著名艺术家
09-20 1935
jenkins sonarqube代码检查 owasp dependency-check 漏洞扫描
dependency-checker:一个简单的CLI脚本,用于检查package.json中的依赖项
03-22
依赖检查器 一个简单的CLI脚本,用于检查package.json依赖项。 安装 git clone git@github.com:KittyGiraudel/dependency-checker 用法 Usage: dependency-checker [options] Options: -p, --package <package> Path to package.json -d, --dev Whether to check devDependencies -p, --peer Whether to check peerDependencies -r, --reporter [reporter] Reporter to use (cli or json) --no-pr
代码扫描搭建Sonar+docker+jenkins
oscarli的博客
08-26 1031
soanr平台搭建笔记
开源工具系列5:DependencyCheck
wolaisongfendi的博客
03-09 2458
Dependency-Check 是 OWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。
组件漏洞测试工具---Dependency-Check
热门推荐
一杯咖啡的渗透记忆
10-14 2万+
目录 文章综述 Dependency-Check简介 工作原理 常用命令 报告解读 使用场景 文章综述 本文主要介绍Dependency-Check工具的工作原理和使用方法,并提供一个开源方案帮助企业建设SDL中的一环。 Dependency-Check简介 使用"存在已知漏洞的组件"已经成为OWASP TOP 10的漏洞之一了。所以,越来越有必要对上线前的项目做好三方依赖库的检测,寻找中已知的漏洞,降低上线后的安全风险。Dependency-Check就是这样的一款工...
DependencyCheck+Jenkins扫描JAVA第三方依赖(CVE)漏洞
u012280424的博客
09-26 5516
利用Jenkins使用DependencyCheck更新漏洞库到本地,然后DependencyCheck扫描扫描项目,得到一个json报告,然后再使用json报告填充我们的自定义模板,最后输出填充后的模板为漏洞报告。
Node那些事】Node.js代码漏洞扫描工具介绍——npm audit
killer1989的博客
10-08 2678
npm audit运行安全检查主要作用:检查命令将项目中配置的依赖项的描述提交到默认注册中心,并要求报告已知漏洞。如果发现任何漏洞,则将计算影响和适当的补救措施。如果 fix 提供了参数,则将对包树应用补救措施。具体参考:https://www.npmrc.cn/quick-start/about-npm.html。
依赖包安全漏洞扫描工具——Dependency-Check(OWASP)_autoupdate is disabled and the database does not e(1)
2401_84297618的博客
04-29 670
代表工程名代表检查的jar包文件夹,代表报表输出的路径不检查js不检查nodejs(这一步出现问题的话,可以看一下文档底部的注意事项!!!
代码依赖包安全漏洞检测神器 —— Dependency Check
liwenxiang629的博客
11-02 1万+
目前各个企业对于应用的安全越来越重视,而解决应用漏洞的本质是从代码安全抓起。通常关于代码的安全问题有两类:代码本身的安全问题和代码依赖包存在的安全问题。对于代码本身的安全问题,我们可以通过静态代码分析工具解决。而对于代码依赖包的安全问题是我们这篇文章重点解决的事情,业界通常使用Dependency-Check来检查代码中是否存在任何已知的,公开披露的安全漏洞。他检查依赖项中是否存在漏洞的原理也跟我们熟知的病毒查杀软件一样,预先定义好目前已知的安全漏洞库,检查依赖包时,发现这些漏洞就会报错,最后定期更新安全漏
DependencyCheck 常见问题解决方案
gitblog_07721的博客
09-13 1175
DependencyCheck 常见问题解决方案 【免费下载链接】DependencyCheck OWASP dependency-check is a software composition analysis utility that detects publicly disclosed vulnerabilitie...
自动化与效率:Jenkins驱动的Node.js持续集成实践
本文将深入探讨Jenkins作为持续集成工具与Node.js应用程序的结合,以及它们如何共同实现高效、可靠的自动化构建和测试。 Jenkins 是一个广泛使用的开源持续集成服务器,它允许开发团队配置自动化任务,如编译、测试...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值