中国sonarqube教程-苏州华克斯公司

HCL AppScan Standard 10.6.0 中的新增功能

修复和安全更新

此发行版中的新安全规则包括：attWPHelperLitePluginXSSCVE20230448

- 检测 CVE-2023-0448WordPressWBPUPluginXSSCVE202328665

 - 检测 CVE-2023-28665WordPressLWPPluginXSSCVE202323492

- 检测 CVE-2023-23492attNoSQLInjection

 - 改进了对 NoSQL 漏洞的支持（在 crAPI 中演示）attCactiRemoteCommandExecutionCVE202246169

 - Cacti 检测 CVE-2022-46169易受攻击的组件数据库已更新到 V1.4有关此发行版中的修复以及新的已更新安全规则的完整列表，请参阅 AppScan Standard 修复列表。

已在此发行版中更改“删除问题”功能已从编辑菜单和上下文菜单中除去。此外，还除去了将问题标记为不易受攻击的选项。现在，代理商sonarqube教程，如果问题是假阳性，代理商sonarqube教程，您只能将其标记为“干扰”。即将推出的变更从 V10.7.0 开始，许可过程将发生变化。此更改不会影响现有使用情况。敬请关注 HCL AppScan 的更多详细信息和更新内容。

本文介绍了SonarQube版本更新升级的方法。包括SonarQube升级指南和9.9版本更新说明。

9.9 版升级说明

数据库支持已更新

SonarQube不再支持Oracle版本12C和18C。

现在支持 Oracle 版本 21C。

现在支持 SQL Server 2022。

SonarQube 服务器需要 Java 17

Java 17 需要 SonarQube 服务器。不再支持使用 Java 11。

SonarScanner for .NET 兼容性

在SonarQube中对C#/VB.NET 进行增量分析需要SonarScanner for .NET 5.11+。

社区版、版和企业版的单一Helm图表

sonarqube lts Helm图表不再维护，无法用于安装sonarqube 9.9 lts。要安装Community、Developer或Enterprise Edition，请使用sonarqube Helm图表。数据中心版随sonarqube dce Helm图表提供。

已更新 Docker 映像

如果你使用自签名的证书，你可能需要调整你的Docker配置：Java的安装路径已经改变为

废弃的和变量已被删除

蕞新的配置变量请参见环境变量。

Docker镜像上的标签被替换成新的LTS版本。如果你想避免任何自动的重大升级，我们建议使用相应的标签来代替.lts9.9-<edition>lts-<edition>。

设置

这组说明介绍如何配置插件以运行本地 Fortify 静态代码分析器扫描，将分析结果上传到软件安全中心，北京sonarqube教程，然后在 Jenkins 中查看分析结果。您还可以使用 ScanCentral SAST 运行分析。有关说明，请参阅完整文档。

创建 CIToken 类型的身份验证令牌。登录 Fortify 软件安全中心，单击“管理”选项卡，然后在左侧窗格中选择“令牌管理>用户”。单击“新建”创建 CIToken 类型的身份验证令牌，然后单击“保存”。对话框底部的令牌。

在 Jenkins 中，安装 Fortify 插件。

从“Jenkins”菜单中，中国sonarqube教程，选择“Jenkins”>“管理 Jenkins”>“配置系统”。要根据结果触发不稳定构建并在 Jenkins 中查看分析结果，您需要将本地运行的分析结果上传到 Fortify 软件安全中心。向下滚动到强化评估部分，然后执行以下操作：

在“SSC URL”框中，键入“强化软件安全中心服务器 URL”。

在“身份验证令牌”框下方，单击“添加> Jenkins”以打开“Jenkins 凭据提供程序”对话框，并添加类型为“强化连接令牌”的凭据。添加凭据的说明，并将在步骤 1 中创建的令牌值粘贴到“令牌”框中。

要使用 Jenkins 中配置的代理设置连接到 Fortify 软件安全中心，请选择“使用 Jenkins 代理”。

单击测试 SSC 连接。