与SonarQube的安全扫描依赖关系
与SonarQube的安全扫描依赖关系
提问于 2020-10-15 19:43:57
我是SonarQube的新手。
我正在使用SonarQube安全扫描我的Java源代码。我还使用Trivy安全扫描我的Docker容器,在那里我打包我的Java应用程序进行部署。
我将代码部署在JBoss和Tomcat web服务器上。
因此,我让SonarQube安全扫描我的源代码,让Trivy安全扫描我的Docker镜像,但现在我需要一些东西来安全扫描我代码的依赖项(JAR)。
SonarQube可以扫描依赖Apache库并报告哪些依赖包含安全流,需要用新版本替换吗?如果是,是如何实现的?
回答 1
Stack Overflow用户
发布于 2021-01-26 02:35:27
我认为dependency-check项目就是你想要的;有一些Grade和Maven插件可以让它的使用变得更容易,而且它可以与SonaqQube集成。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/64370869
复制相关文章
相似问题
腾讯云开发者
