Почему плагин OWASP Dependency-Check не находит ничего?
В конвейере я запускаю две базовые команды, которые генерируют и публикуют отчет в репо. Но проблема в том, что в результатах 0 побед
Команды в Дженкинс:
dependencyCheckAnalyzer datadir: '', hintsFile: '', includeCsvReports: false, includeHtmlReports: false, includeJsonReports: false, includeVulnReports: false, isAutoupdateDisabled: false, outdir: '', scanpath: '', skipOnScmChange: false, skipOnUpstreamChange: false, suppressionFile: '', zipExtensions: ''
dependencyCheckPublisher canComputeNew: false, defaultEncoding: '', healthy: '', pattern: '**/dependency-check-report.xml', unHealthy: ''
Что он делает, он выводит с:
[DependencyCheck] OWASP Dependency-Check Plugin v3.1.1
[DependencyCheck] Executing Dependency-Check with the following options:
[DependencyCheck] -name = myDependencycheckerjob
[DependencyCheck] -scanPath = /mypath
[DependencyCheck] -outputDirectory = /mypath
[DependencyCheck] -dataDirectory = /mypath/dependency-check-data
[DependencyCheck] -dataMirroringType = none
...
[DependencyCheck] -opensslAnalyzerEnabled = true
[DependencyCheck] -showEvidence = true
[DependencyCheck] -formats = XML
[DependencyCheck] -autoUpdate = true
[DependencyCheck] -updateOnly = false
[DependencyCheck] Data directory created
[DependencyCheck] Scanning: /mypath
[DependencyCheck] Analyzing Dependencies
[Pipeline] dependencyCheckPublisher
[DependencyCheck] Collecting Dependency-Check analysis files...
[DependencyCheck] Searching for all files in /mypath that match the pattern **/dependency-check-report.xml
[DependencyCheck] Parsing 1 file in /mypath
[DependencyCheck] Successfully parsed file /mypath/dependency-check-report.xml with 0 unique warnings and 0 duplicates.
[DependencyCheck] Computing warning deltas based on reference build #3
Теперь файл в базе данных проверок зависимостей довольно большой, около 200 МБ, отчет сгенерирован, но найдено 0 найденных проблем (похоже, что-то вроде того, что находится в корневой папке проекта).
Чего здесь не хватает, что предвосхищает результат генерации?
В отчете html указывается, что существует только одна зависимость - gradle-wrapper.jar.