Jenkins整合Owasp DependencyCheck实现SCA

简介

Dependency-Check 是 OWASP（Open Web Application Security Project）的一个实用开源程序，用于识别项目依赖项并检查是否存在任何已知的，公开披露的漏洞。

目前，已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序并为C/C++构建系统（autoconf和cmake）提供了有限的支持。

而且该工具还是OWASP Top 10的解决方案的一部分。

Dependency-Check 支持面广（支持多种语言）、可集成性强，作为一款开源工具，在多年来的发展中已经支持和许多主流的软件进行集成

比如：命令行、Ant、Maven、Gradle、Jenkins、Sonar等；具备使用方便，落地简单等优势。

DependencyCheck 实现原理

依赖性检查可用于扫描应用程序（及其依赖库），执行检查时会将 Common Platform Enumeration (CPE)国家漏洞数据库及NPM Public Advisories库下载到本地，再通过核心引擎中的一系列分析器检查项目依赖性，收集有关依赖项的信息。

然后根据收集的依赖项信息与本地的CPE&NPM库数据进行对比，如果检查发现扫描的组件存在已知的易受攻击的漏洞则标识，最后生成报告进行展示。

OWASP Dependency-Check | Jenkins plugin

Owasp DependencyCheck插件安装

● 只要在Jenkins中安装OWASP Dependency-Check Plugin即可

● 在build阶段maven/ant执行后，sonar执行前进行DependencyCheck

● 需要勾选在Advanced中勾选Generate optional HTML report以及Generate optional vulnerability report (HTML)，否则sonarqube只有结果无具体报告

● 需要在sonar的配置中指定dependencyCheck的报告路径

OWASP Dependency-Check | OWASP Foundation

https://github.com/jeremylong/DependencyCheck/releases/download/v9.0.7/dependency-check-9.0.7-release.zip

Jenkins job集成Dependency-check

在Jenkins“全局工具管理”里面新增一个Dependency-check的实例：

job构建里面选择“invoke dependency-check”：

#sonar工程标识，随意输入不重复有代表意义即可
sonar.projectKey=${JOB_NAME} 

#sonar工程标识，随意输入不重复有代表意义即可
sonar.projectName=${JOB_NAME} 

#sonar工程版本号
sonar.projectVersion=1.0 

#源代码路径，依据需要可在$WORKSPACE后加入目标路径，缩小分析范围；
sonar.sources=$WORKSPACE

#class文件路径，依据需要可在$WORKSPACE后加入目标路径，缩小分析范围；
sonar.java.binaries=$WORKSPACE

sonar.exclusions=**/test/**,**/target/**

sonar.java.source=8 
sonar.java.target=8

# Encoding of the source code. Default is default system encoding 
sonar.sourceEncoding=UTF-8

sonar.dependencyCheck.reportPath=${WORKSPACE}/dependency-check-report.xml
sonar.dependencyCheck.htmlReportPath=${WORKSPACE}/dependency-check-report.html
sonar.dependencyCheck.summarize=true

注意执行顺序，先执行dependency-check，再执行sonarQube Scanner，因为sonar插件不会进行依赖扫描，需要通过dependency-check扫描完成后，读取配置文件，然后在页面展示的

点击Risk Gate Thresholds可以设定在整体缺陷个数或者新增缺陷个数是多少的情况下，把构建结果设置为Unstable或者Fail。比如：

对于issue总数来说，Critcal的达到2个，或者High的达到2个，就Unstable；Critical的达到10个，或者High的达到10个，就Fail；对于新增issue来说，Critical的达到1个，或者High的达到1个，就Unstable；Critical的达到5个，或者High的达到5个，就Fail。