Я использовал плагин FindSecBugs в Spotbugs для статического анализа безопасности моего кода.Некоторые из моих проектов построены с использованием gradle , а некоторые - с использованием maven .Я успешно протестирован для maven, который дает мне xml-отчет вроде:
BugInstance instanceOccurrenceNum = "0" instanceHash = "f52576b87914efbf135c588c2449648e" cweid = "117" rank = "15"abbrev = "SECCRLFLOG" category = "SECURITY" priority = "3" type = "CRLF_INJECTION_LOGS" instanceOccurrenceMax = "0">
Кажется, работает нормально.Затем я попытался сделать то же самое для Gradle.Похоже, я не получаю атрибут InstanceHash.Я использую этот атрибут, чтобы убедиться, что ошибки не повторяются.Я получаю отчет
BugInstance type = "PATH_TRAVERSAL_IN" priority = "1" rank = "10" abbrev = "SECPTI" category = "SECURITY">
MyФайл build.gradle:
apply plugin: "com.github.spotbugs"
dependencies {
spotbugsPlugins 'com.h3xstream.findsecbugs:findsecbugs-plugin:1.9.0'
}
spotbugs {
toolVersion = '3.1.12'
sourceSets = [ sourceSets.main ]
ignoreFailures = true
reportsDir = file("$project.buildDir/findsecbugs")
effort = "max"
reportLevel = "high"
includeFilter = file("$rootProject.projectDir/fsb-include.xml")
excludeFilter = file("$rootProject.projectDir/fsb-exclude.xml")
}
Я что-то не так делаю?Почему некоторые атрибуты отсутствуют в моем отчете XML?