Jenkins DependencyCheck扫描Node.js程序

最新推荐文章于 2024-07-16 10:10:04 发布
最新推荐文章于 2024-07-16 10:10:04 发布
阅读量1k 收藏 1
点赞数
分类专栏: 持续集成 linux 文章标签: jenkins node.js 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/freflying1119/article/details/127428704
版权
本文档介绍了在使用Jenkins的DependencyCheck插件扫描Node.js项目时遇到的两个问题及其解决方案。问题1是无法读取yarn audit输出,解决方法是在扫描前执行'npm install && npm run build'。问题2是无法读取pnpm audit输出,解决方法是在扫描参数中添加'--disablePnpmAudit'。同时,提供了SonarQube插件的配置示例,确保正确分析JavaScript项目。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Jenkins DependencyCheck插件扫描Node.js程序

问题1 Unable to read yarn audit output.

[DependencyCheck] [ERROR] NodeAuditAnalyzer failed on xxx/package-lock.json - yarn.lock was found; if package-lock.json was generated using synp, it may not be in the correct format.
[DependencyCheck] [ERROR] Unable to read yarn audit output.
Build step ‘Invoke Dependency-Check’ changed build result to FAILURE

解决办法

在执行DependencyCheck之前,先执行npm install && npm run build

问题2 Unable to read pnpm audit output.

[DependencyCheck] [ERROR] Unable to read pnpm audit output.
Build step ‘Invoke Dependency-Check’ changed build result to FAILURE

解决办法

在dependencyCheck 扫描参数中添加配置 --disablePnpmAudit

dependencyCheck完整的配置如下:

--project	$projectName  --scan $WORKSPACE  --format HTML --format XML --format JUNIT  --disableYarnAudit  --disablePnpmAudit  --disableMSBuild --out $WORKSPACE

SonarQube插件配置为:

sonar.projectKey=$projectName
sonar.projectName=$projectName
sonar.projectVersion=$branch
sonar.language=js
sonar.sourceEncoding=UTF-8
sonar.sources=./src
sonar.dependencyCheck.htmlReportPath=${WORKSPACE}/dependency-check-report.html

参考文档

  1. https://jeremylong.github.io/DependencyCheck/dependency-check-cli/arguments.html
Dependency-Check代码依赖包安全漏洞检测-Python解析结果生产Word报告(支持Java、.NET、Ruby、Node.js、Python等语言)
墨痕诉清风的博客
08-16 391
Dependency-Check是一个软件组成分析(SCA)工具,它试图检测项目依赖关系中包含的公开披露的漏洞。它通过确定给定依赖项是否存在公共平台枚举(CPE)标识符来实现这一点。如果找到,它将生成一个链接到相关CVE条目的报告。OWASP Top 10 2013包含一个新条目:A9-使用具有已知漏洞的组件。Dependency Check目前可用于扫描应用程序(及其依赖库),以识别任何已知的易受攻击的组件。
开源漏洞扫描工具(OWASP-Dependency-Check)探索
weixin_34117211的博客
04-17 8383
背景 随着公司逐渐发展壮大,网络信息安全变得越来越重要。由此激发了我们成立兴趣小组(凯京爆破小组)研究网络信息安全的欲望。然而信息安全的防范,还得从底层编码开始做起。这样依赖性扫描工具(OWASP-Dependency-Check)就进入了我们的视线,既符合我们当前的需求又使用方便简单,自然而然的成为了我们探索的对象。 简介 Dependency-Che...
dependency-checker:一个简单的CLI脚本,用于检查package.json中的依赖项
03-22
依赖检查器 一个简单的CLI脚本,用于检查package.json依赖项。 安装 git clone git@github.com:KittyGiraudel/dependency-checker 用法 Usage: dependency-checker [options] Options: -p, --package <package> Path to package.json -d, --dev Whether to check devDependencies -p, --peer Whether to check peerDependencies -r, --reporter [reporter] Reporter to use (cli or json) --no-pr
spring的依赖检查(dependency-check属性)
weixin_30885111的博客
08-09 1099
依赖检查要和自动装配结合使用,没有自动装配也就没有检查的必要了。 <beanid="HelloWorld"class="com.jnotnull.HelloWorld" autowire="autodectect"dependency-check="none"> dependency-check有四个值:none,simple,object,all。默认不检查 ...
Dependency-check
weixin_42176112的博客
02-15 5634
文章目录前言简介原理 前言 公司客户使用的是该工具扫描,与我们内部使用的工具snyk的测试结果无法对其,为了便于和客户扫描对齐也采用该工具扫描本公司的产品。本文主要记录一下工具原理简介、使用方式、报告解读及与其他工具对比等内容。本文内容来源于网络也服务于网络,起主要目的是把自己使用的一些心得体会记录一下便于自己日后使用,也能够为他人提供一点点有效参考。 简介 Dependency-Check 是OWASP(Open WebApplication Security Project) g的一个实用开源程序,用
Dependency-Check部署及Jenkins集成OWASP Dependency-Check Plugin
weixin_44455388的博客
09-09 5815
部署Dependency-Check 1、下载Dependency-Check: https://owasp.org/www-project-dependency-check/ 2、上传服务器并解压 jenkins集成Dependency-Check 1、jenkins依次选择[Manage Jenkins]->[Manage Plugins]-[可选插件]安装OWASP Dependency-Check Plugin和Analysis Model API Plugin(安装插件过程中可能会失败
推荐项目:dependency-check —— 确保你的依赖天衣无缝
gitblog_00003的博客
06-07 585
推荐项目:dependency-check —— 确保你的依赖天衣无缝 去发现同类优质开源项目:https://gitcode.com/ 在快速迭代的软件开发过程中,管理好项目依赖是避免无数头痛问题的关键。为此,我们向您推荐一个开源工具——dependency-check。这个工具在2024年的春天虽然已被【knip】所取代,但其核心价值仍然值得学习和借鉴,尤其是对于那些寻求更基础依赖管理解决方案...
开源SCA项目调研.pdf
04-22
该工具支持多种编程语言包括Java、.NET、Ruby、PHP、Node.js、Python等,并且对C/C++也有一定的支持。 **工作原理**:Dependency-Check通过一系列分析器来搜集项目依赖的相关信息,包括供应商、产品名称以及版本号...
devops===》dependency-check-maven项目漏洞检查
Elaina_fang✨✨✨的博客
12-24 1609
一、OWASP dependency-check-maven插件 介绍:Dependency-Check是OWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。而且该工具还是OWASP Top 10的解决方案的一部分。 Dependen
CCS持续集成实战:将LIB文件生成无缝整合入CI_CD流程
!... # 摘要 随着软件开发的复杂性增加,持续集成(CI)和持续部署(CD)流程变得越来越重要,而LIB文件作为构建和部署过程中的关键组件,其生成、管理和集成对于维持高效的软件交付链尤为关键。本
jenkins中添加sonnarqube与OWASP Dependency-Check
著名艺术家
09-20 1755
jenkins sonarqube代码检查 owasp dependency-check 漏洞扫描
Jenkins整合Owasp DependencyCheck实现SCA
最新发布
huchao_lingo的博客
07-16 1604
对于新增issue来说,Critical的达到1个,或者High的达到1个,就Unstable;注意执行顺序,先执行dependency-check,再执行sonarQube Scanner,因为sonar插件不会进行依赖扫描,需要通过dependency-check扫描完成后,读取配置文件,然后在页面展示的。然后根据收集的依赖项信息与本地的CPE&NPM库数据进行对比,如果检查发现扫描的组件存在已知的易受攻击的漏洞则标识,最后生成报告进行展示。而且该工具还是OWASP Top 10的解决方案的一部分。
代码扫描搭建Sonar+docker+jenkins
oscarli的博客
08-26 982
soanr平台搭建笔记
开源工具系列5:DependencyCheck
wolaisongfendi的博客
03-09 2329
Dependency-Check 是 OWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。
组件漏洞测试工具---Dependency-Check
热门推荐
一杯咖啡的渗透记忆
10-14 2万+
目录 文章综述 Dependency-Check简介 工作原理 常用命令 报告解读 使用场景 文章综述 本文主要介绍Dependency-Check工具的工作原理和使用方法,并提供一个开源方案帮助企业建设SDL中的一环。 Dependency-Check简介 使用"存在已知漏洞的组件"已经成为OWASP TOP 10的漏洞之一了。所以,越来越有必要对上线前的项目做好三方依赖库的检测,寻找中已知的漏洞,降低上线后的安全风险。Dependency-Check就是这样的一款工...
NRPE: Unable to read output的原因及排除
weixin_33725270的博客
08-25 276
最近添加的几台主机的nagios监控中出现了NRPE: Unable to read output这个告警,一个是check_mysql,一个是check_uptimecheck_mysql我现在被监控机上执行了一下check_mysql是有信息返回的,于是用check_nrpe去检测check_mysql也是有数据返回的,但是在监控机上执行脚本就报错了,由于运行nrpe是用...
如何对jar包进行安全扫呢,用dependency-check工具吧
weixin_43554548的博客
09-06 1955
dependency-check
Centos7安装DependencyCheck
糖糖的小窝
04-14 792
安装java 查看yum源的java包 yum list java* 安装java1.8jdk软件 yum -y install java-1.8.0-openjdk 查看版本,检测是否安装成功 java -version 安装 maven 下载maven yum -y install wget wget https://mirrors.tuna.tsinghua.edu.cn/apache/maven/maven-3/3.6.3/binaries/apache-maven-3.6.3-bin.t
NRPE: Unable to read output 常见问题
tyrion的博客
09-23 1673
nagios相关
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值