Я реализовал задачу SonarQube и Dependency Check в TFS со следующей конфигурацией:
1. Подготовить анализ по заданию SonarQube
sonar.cs.vstest.reportsPaths=**/*.trx
sonar.cs.vscoveragexml.reportsPaths=**/*.coveragexml
sonar.cfamily.build-wrapper-output=$(Build.SourcesDirectory)
sonar.cfamily.threads=6
sonar.cfamily.cppunit.reportsPath=$(Build.SourcesDirectory)
sonar.branch.name=$(Build.SourceBranchName)
sonar.dependencyCheck.reportPath=$(Build.ArtifactStagingDirectory)\dependency-check-report.xml
sonar.dependencyCheck.htmlReportPath=$(Build.ArtifactStagingDirectory)\dependency-check-report.html
2. Задача проверки зависимостей OWASP
C:\tools\dependency-check\bin\dependency-check.bat --project "xyz" -f ALL -s "$(Build.SourcesDirectory)" -o "$(Build.ArtifactStagingDirectory)"
но на этом шаге выдается ошибка:
[ОШИБКА] Невозможно загрузить метафайл:
https://nvd.nist.gov/feeds/json/cve/1.0/nvdcve-1.0-modified.meta
Я скачал плагин командной строки для проверки зависимостей с https://www.owasp.org/index.php/OWASP_Dependency_Check