在Azure DevOps中自动构建我的(.NET Core WebAPI)源代码期间,我使用(dotnet)声纳扫描器将静态分析结果推送给SonarQube--这集成在Dockerfile中,工作正常--见 此处 的Dockerfile。
之后在单独的部署过程中,我想做自动的 ZAPZaproxy 对部署到devtest环境中的正在运行的服务进行API扫描。API扫描使用的是 ZAP openapi addon 来查找和扫描OpenAPI规范中定义的路由。参见 此处 的ZAP基础镜像Docker文件,它将作为部署的一部分来运行。
我正在使用 zap-sonar-plugin但我不知道如何将zap报告推送到现有的声纳项目中,也就是说,不需要重新构建can的源代码,这是我 可以 但在我看来,这似乎不太正确--为什么我需要重新构建扫描源,因为这在构建过程中就已经发生了,而且构建的输出(例如docker镜像)也已经被推送了。
有没有办法在不指定任何来源的情况下,简单地运行sonar-scanner来推送zap报告到现有的sonar项目?还是我的想法和我想做的事情有点偏差?