SonarQube Stackhawk DAST 演示仓库

发布: 3天前 (2026年2月23日 GMT+8 21:29)

2 分钟阅读

Source: Dev.to

设置并运行应用程序

这是一款专为培训目的而设计的、带有 Thymeleaf 的有意漏洞 Java Spring Boot 应用程序。

# 在应用程序根目录下执行
mvn spring-boot:run

应用程序会在启动时填充数据；请等待控制台出现 READY 后再继续。
随后即可通过以下地址访问：http://localhost:8081

默认用户

用户名	密码	用户类型
Admin	admin	ADMIN
User	user	CUSTOMER

使用 StackHawk 进行 DAST 扫描

export SARIF_ARTIFACT=true
hawk scan

扫描会生成 stackhawk.sarif 文件，稍后可将其导入 SonarQube。

将 SARIF 报告添加到 SonarQube 扫描中

# 获取当前分支名称
CURRENT_BRANCH=$(git branch --show-current)

# 验证是否成功获取分支名称
if [ -z "$CURRENT_BRANCH" ]; then
    echo "Error: Could not determine the current Git branch."
    exit 1
fi

mvn clean verify sonar:sonar \
  -Dsonar.projectKey=e-corp-demo_sonarqube-stackhawk-dast-demo_31dfab10-94aa-4a9b-a894-77cabdab902a \
  -Dsonar.projectName='sonarqube-stackhawk-dast-demo' \
  -Dsonar.host.url=https://mathiasconradt.ngrok.io \
  -Dsonar.sarifReportPaths=stackhawk.sarif \
  -Dsonar.branch.name=$CURRENT_BRANCH

StackHawk 的 DAST 发现结果会出现在 SonarQube 的 Issues（问题）页面中，并带有 STACKHAWK 标签。

SonarQube Stackhawk DAST 演示仓库

设置并运行应用程序

默认用户

使用 StackHawk 进行 DAST 扫描

将 SARIF 报告添加到 SonarQube 扫描中

相关文章

在 DigitalOcean 上发布基于 VAPOR 的服务

Agent Skills 淘金热出现恶意软件问题

使用 Java 和 Aurora DSQL 的无服务器应用程序 - 第5部分：添加对标识列和序列对象的支持

我为开发者打造了匿名告白App——实现方法