Geo*_*oué 6 audit npm sonarqube npm-audit
我正在开发网络应用程序。我需要检查依赖项的安全性。
我实际上正在使用 OWASP 依赖项检查扫描我的源代码,但我认为它不是在 Web 应用程序上使用的最佳工具。我认为 npm 审计或纱线审计是检查这个应用之王的依赖项安全性的更好工具。
使用 OWASP,我使用 OWASP SonarQube 项目将结果集成到 sonarQube 使用的设置示例:
sonar.dependencyCheck.reportPath=$(System.DefaultWorkingDirectory)/DependencyCheckResults/dependency-check-report.xml
sonar.dependencyCheck.htmlReportPath=$(System.DefaultWorkingDirectory)/DependencyCheckResults/dependency-check-report.html
同理,有没有办法将npm审计(或yarn审计)报告导入SonarQube?
目前我使用以下命令以 json 格式生成报告:
npm audit --json
我也知道可以使用https://github.com/eventOneHQ/npm-audit-html从 npm 审计生成 HTML 报告
所以,它只是缺少一个 SonarQube 插件来导入它或类似的东西,但我找不到它。
目前,这似乎不可能。然而,这个 npm rfc 0004指定了一个npm audit --owasp标志来解决这个问题。该 RFC 已被接受,但尚未实施。
也许值得尝试npm audit --json使用一些 sonarQube 插件解析输出,但我不知道如何做到这一点。
npm rfc 被撤回:
npm cli 团队很乐意实现这一更改,如果它来自社区贡献,则撤回这一更改是基于这样一个事实:这与当前团队的路线图相差甚远。
| 归档时间: |
|
| 查看次数: |
1517 次 |
| 最近记录: |