Agregar comprobaciones de dependencia en Gradle y ver informes en Sonar

Necesitamos introducir herramientas de verificación de dependencias en el proyecto para buscar vulnerabilidades de seguridad y otros problemas en las bibliotecas dependientes. Dado que utilizamos Gradle como generador de dependencias y Kotlin como lenguaje de desarrollo, hemos elegido el método del complemento Gradle de verificación de dependencias de owasp. Finalmente, el informe debe cargarse en el sonar para su presentación.

Agregue la dependencia a build.gradle.kts:

Agregue la ruta al informe de verificación de dependencia a la configuración de la sonda:

En la sonda, seleccione la pestaña Administración y vaya al mercado. En Complementos, busque e instale el complemento que se muestra aquí:

Este proyecto utiliza Jenkins como herramienta de compilación de CI, por lo que debe agregar una etapa para cargar el informe de verificación de dependencia en la sonda.

Dado que no es necesaria la verificación de dependencia cada vez que se ejecuta la canalización, puede ejecutar la etapa manualmente utilizando la entrada de tiempo de espera. /gradlew dependencyCheckAnalyze generará un documento de informe, cuyo formato predeterminado es html y se puede modificar mediante la configuración.

Cuando se completa la verificación de dependencias, los parámetros host.url y de inicio de sesión con los que se debe ejecutar ./sonar se pueden configurar en las propiedades de sonar o pasarse al ejecutar el comando. Esto se configura en el archivo de Jenkins obteniendo las credenciales porque las credenciales ya están configuradas en Jenkins.

Cuando Jenkins CI ejecuta el análisis de Sonar, puede ingresar a Sonar para ver el informe de verificación de dependencia correspondiente, como se muestra en la figura