8

我正在开发网络应用程序。我需要检查依赖项的安全性。

我实际上正在使用 OWASP 依赖项检查扫描我的源代码,但我认为它不是在网络应用程序上使用的最佳工具。我认为 npm audit 或 yarn audit 是检查这个应用之王的依赖安全性的更好工具。

使用 OWASP,我使用 OWASP SonarQube 项目将结果集成到 sonarQube 使用的设置示例:

sonar.dependencyCheck.reportPath=$(System.DefaultWorkingDirectory)/DependencyCheckResults/dependency-check-report.xml
sonar.dependencyCheck.htmlReportPath=$(System.DefaultWorkingDirectory)/DependencyCheckResults/dependency-check-report.html

同理,有没有办法使用 npm 审计(或纱线审计)报告到 SonarQube 中?

目前,我使用以下命令生成 json 格式的报告:

npm audit --json

我也知道可以使用https://github.com/eventOneHQ/npm-audit-html从 npm 审计生成 HTML 报告

所以,它只是缺少一个 SonarQube 插件来导入它或类似的东西,但我找不到它。

4

1 回答 1

5

目前,这似乎是不可能的。然而,这个 npm rfc 0004指定了一个npm audit --owasp标志来解决这个问题。此 rfc 已被接受,但尚未实施。

也许值得尝试npm audit --json使用一些 sonarQube 插件解析输出,但我对如何执行此操作一无所知。

编辑 2021-08-09

npm rfc 被撤回

如果它来自社区贡献,npm cli 团队将很乐意进行此更改,此撤回是基于这样一个事实,即这并没有远离当前团队的路线图。

于 2020-09-08T08:17:21.847 回答