我刚刚开始尝试使用 Nexus IQ 服务器来扫描我的基于 Javascript 的项目,该项目使用 npm 和 Bower 的库。
我正在使用 Jenkins Nexus Platform 插件,并配置了一个构建步骤来连接到我们的 Nexus IQ 服务器实例。作为插件的一部分,我已将其配置为在安装了 npm 和 Bower 依赖项的构建项目位置中扫描 Javascript 文件。
我们的 Nexus IQ 服务器上生成的最终报告非常庞大,事实上它达到了它可以显示的结果限制(10000 行),因此无法显示它找到的所有内容。
我不是 100% 确定我是否在这里做事,并且想知道其他人是否有在扫描 npm 所安装的依赖项时如何从 Nexus 获得合理结果的经验。
我现在正在查看许可证分析部分,可以看到超过 3000 行各种“不支持”许可证威胁,这些威胁来自尚未直接包含在项目中的库,例如在我的项目 package.json 文件中列出,但我猜这些是我指定要安装的库的子依赖项。
任何人都可以提供关于让 Nexus IQ 处理依赖于 npm 依赖项的 Javascript 项目的最佳方法的建议吗?
NexusIQ 分析项目所需的全部内容是:
package-lock.json
识别所有依赖关系,包括传递依赖关系package.json
构建依赖树(否则不可用)在应用程序上执行手动操作
Evaluate a file
时,这就足够了。
对于 jenkins 插件步骤,配置它,例如如下:
nexusPolicyEvaluation(
iqApplication: 'SampApp',
iqStage: 'build',
iqScanPatterns: [
[ scanPattern: '**/package-lock.json' ],
[ scanPattern: '**/package.json' ]
])