jenkinsci/dependency-check-plugin

[](https://ci.jenkins.io/job/Plugins/job/dependency-check-plugin) [][license-url] [](https://plugins.jenkins.io/dependency-check-jenkins-plugin) [](https://plugins.jenkins.io/dependency-check-jenkins-plugin) [](https://issues.jenkins-ci.org/issues/?jql=component%20%3D%20dependency-check-jenkins-plugin) # Dependency-Check Jenkins 插件 Dependency-Check 是一个用于识别项目依赖项并检查是否存在任何已知、公开披露漏洞的工具。该工具可以作为 OWASP Top 10 2017: A9 - 使用含有已知漏洞的组件解决方案的一部分。此插件可以独立执行 Dependency-Check 分析并可视化结果。 ## 使用说明 该插件包含三个主要组件：全局定义的工具配置、构建器和发布器。 #### 全局工具配置 可以通过 Jenkins 全局工具配置安装一个或多个 Dependency-Check 版本。Dependency-Check 的安装可以自动执行，将从 Github 下载并提取官方命令行界面 (CLI)，也可以手动安装官方发行版并在配置中引用安装路径。  #### 构建器 构建器使用预定义的 Dependency-Check CLI 安装之一执行分析。Jenkins 特定的配置非常少，任务配置的重要方面是“参数”字段，该字段将直接发送到定义的 CLI 安装。  从 9.0.0 版本开始，dependency-check 已从使用 NVD 数据馈送转为使用 NVD API。强烈建议 dependency-check 的用户获取 NVD API Key；请参阅 https://nvd.nist.gov/developers/request-an-api-key 如果没有 NVD API Key，dependency-check 的更新将会非常缓慢。请参阅 cli、maven、gradle 或 ant 集成的文档，了解如何设置 NVD API key。 NVD API 强制实施速率限制。如果您使用单个 API KEY 并且发生多次构建，可能会达到速率限制并收到 403 错误。在 CI 环境中，必须使用缓存策略或由计划的每周任务更新的外部数据库。 #### 发布器 发布器独立于工具配置或构建器工作，负责读取 dependency-check-report.xml 并生成指标、趋势和发现，并根据配置的阈值选择性地使构建失败或将其置于警告状态。 

当任务配置了发布器时，趋势图表将显示按严重性分组的发现总数。


图表是交互式的。悬停在构建上将显示高级别的严重性信息。


可以查看每次构建的结果。发现显示在一个交互式表格中，该表格可以排序、搜索和分页。每个发现都可以展开以显示更多详细信息。

 ## 邮件列表 订阅：[dependency-check+subscribe@googlegroups.com] [subscribe] 发布：[dependency-check@googlegroups.com] [post] ## 版权与许可 Dependency-Check 版权所有 (c) Jeremy Long。保留所有权利。 Dependency-Check Jenkins 插件版权所有 (c) Steve Springett。保留所有权利。 根据 Apache 2.0 许可的条款授予修改和重新分发的权利。有关完整许可，请参阅 [LICENSE.txt] [license] 文件。

标签：CVE, DevSecOps, Jenkins, JS文件枚举, 上游代理, 人体姿态估计, 代码安全, 域名枚举, 安全扫描, 已知漏洞, 开源框架, 开源组件, 持续集成, 插件, 数字签名, 时序注入, 漏洞枚举, 第三方库, 结构化查询, 自动化安全