jenkins 在基于JavaScript的项目中正确使用Nexus IQ

axzmvihb  于 2023-08-03  发布在  Jenkins
关注(0)|答案(1)|浏览(167)

我刚刚开始尝试使用Nexus IQ服务器来扫描我的一个基于JavaScript的项目,该项目使用了npm和bower的库。
我正在使用Jenkins Nexus Platfom插件,并配置了一个构建步骤来连接到我们的Nexus IQ服务器示例。作为插件的一部分,我已经将其配置为在安装了npm和bower依赖项的已构建项目的位置中扫描JavaScript文件。
在我们的Nexus IQ服务器上生成的最终报告是巨大的,事实上它达到了它可以显示的结果的限制(10000行),因此无法显示它找到的所有内容。
我不能100%确定我在这里做的事情是否正确,并且想知道是否有人在扫描npm\bower安装的依赖项时有任何关于如何从Nexus获得合理结果的经验。
我现在正在查看许可证分析部分,可以看到超过3000行各种“不支持”的许可证威胁,这些威胁来自尚未直接包含在项目中的库,例如。在我的项目package.json文件中列出,但我猜这些是我指定要安装的库的子依赖项。
有没有人能提供一些建议,让Nexus IQ处理依赖于npm\bower依赖项的JavaScript项目的最佳方法?

mzaanser

mzaanser1#

NexusIQ分析项目所需的全部内容是:

  • package-lock.json标识所有依赖关系,包括可传递依赖关系
  • 可选:package.json构建依赖树(否则不可用)

当在应用程序上执行手动操作Evaluate a file时,这就足够了。
对于jenkins插件步骤,配置它,例如具体如下:

nexusPolicyEvaluation(
        iqApplication: 'SampApp',
        iqStage: 'build',
        iqScanPatterns: [
            [ scanPattern: '**/package-lock.json' ],
            [ scanPattern: '**/package.json' ]
        ])

字符串
请参阅:使用Jenkins插件进行分析的步骤

相关问题