Sonarqube Zapscan 和依赖检查答案

【问题标题】：Sonarqube Zapscan and Dependency CheckSonarqube Zapscan 和依赖检查
【发布时间】：2016-11-09 19:26:14
【问题描述】：

我正在使用声纳 zap 扫描和声纳依赖性检查插件，当我通过 jenkins 运行声纳独立分析时，会生成 zap 扫描报告，而当我们为同一项目生成依赖性检查报告时，zap 扫描报告会被覆盖。是否有任何解决方案可以同时获取项目的依赖项检查和 ZAP 报告而不是被覆盖。以下是项目依赖项的属性

# required metadata  
sonar.projectKey=Project  
sonar.projectName=Project (Dependencies Check)  
sonar.projectVersion=1.0.0  

# optional description  
sonar.projectDescription= Project dependency test results.  

# path to source directories (required)  
sonar.sources=.  

# Encoding of the source code 
sonar.sourceEncoding=UTF-8  

# dependency Report 
sonar.dependencyCheck.reportPath=dependency-check-report.xml

以下是项目 zap 扫描的声纳属性p>

# required metadata  
sonar.projectKey=Project  
sonar.projectName=Project  
sonar.projectVersion=1.0.0  

# optional description  
sonar.projectDescription= Project zap test results.  

# path to source directories (required)  
sonar.sources=.  

# Encoding of the source code 
sonar.sourceEncoding=UTF-8  

# ZAP Scan Report  
sonar.zap.reportPath=report/security_report.html

我们使用的是 sonarqube 5.5

【问题讨论】：

标签： jenkins sonarqube sonarqube5.1 sonarqube-scan

【解决方案1】：

您获得的结果是您使用的程序的自然结果。

您不能“更新”现有分析。如果您想在分析中同时包含两个报告中的数据，则必须将两个报告都传递给分析。例如：

# required metadata  
sonar.projectKey=Project  
sonar.projectName=Project (Dependencies Check)  
sonar.projectVersion=1.0.0  

# path to source directories (required)  
sonar.sources=.  

# Encoding of the source code 
sonar.sourceEncoding=UTF-8  

# dependency Report 
sonar.dependencyCheck.reportPath=dependency-check-report.xml

# ZAP Scan Report  
sonar.zap.reportPath=report/security_report.html

如果您真的必须单独运行它们，那么给它们单独的键，这将在 SonarQube 中产生两个不同的项目。

【讨论】：

嗨，安，感谢您的关心，有没有办法使用单个项目密钥生成它们，我只需要单独运行它们。
当然，单独运行扫描，但将两个报告提供到一个分析中。