使用SonarQube的安全扫描依赖项
我是新来的 我正在使用SonarQube安全扫描我的Java源代码。我还使用Trivy安全扫描Docker容器,在那里我打包Java应用程序进行部署 我将代码部署在JBoss和Tomcat web服务器上 所以,我需要SonarQube安全扫描我的源代码,Trivy安全扫描我的Docker映像,但现在我需要一些东西来安全扫描代码的依赖项(JAR) SonarQu是否可以扫描依赖项Apache库并报告哪些依赖项包含安全流并且需要用新版本替换?如果是,怎么做?我认为这个项目就是你想要的;有Grade和Maven插件使使用它更容易,并且可以与集成使用SonarQube的安全扫描依赖项,sonarqube,Sonarqube,我是新来的 我正在使用SonarQube安全扫描我的Java源代码。我还使用Trivy安全扫描Docker容器,在那里我打包Java应用程序进行部署 我将代码部署在JBoss和Tomcat web服务器上 所以,我需要SonarQube安全扫描我的源代码,Trivy安全扫描我的Docker映像,但现在我需要一些东西来安全扫描代码的依赖项(JAR) SonarQu是否可以扫描依赖项Apache库并报告哪些依赖项包含安全流并且需要用新版本替换?如果是,怎么做?我认为这个项目就是你想要的;有Grade