1.在自己项目中的pom.xml中加入对应的dependency和plugin。
pom.xml文件

<dependency>
    <groupId>org.owasp</groupId>
    <artifactId>dependency-check-maven</artifactId>
    <version>6.1.5</version>
</dependency>

<plugin>
            <groupId>org.owasp</groupId>
            <artifactId>dependency-check-maven</artifactId>
            <version>6.1.5</version>
            <executions>
            <execution>
                <goals>
                    <goal>check</goal>
                </goals>
            </execution>
            </executions>
            <configuration>
                   <!-- Generate all report formats -->  
                   <format>ALL</format>  
                   <!-- Don't use Nexus Analyzer -->  
                   <centralAnalyzerEnabled>false</centralAnalyzerEnabled>  
                   <!-- Am I the latest version? -->  
                   <versionCheckEnabled>true</versionCheckEnabled>  
             </configuration> 
</plugin>

 

2.在命令行中执行 mvn clean compile dependency-check:check，即可。
3.在sonarqube中安装dependency-check插件
dependency-check插件下载地址：dependency-check
下载使用以下命令生成jar包

> $ mvn clean package

 将插件放入sonarqube的插件目录$SONAR_INSTALL_DIR/extensions/plugins，并且重启sonarqube
4.执行以下命令将dependency-check报告上传到sonarqube

mvn sonar:sonar -Dsonar.dependencyCheck.jsonReportPath=target/dependency-check-report.json -Dsonar.dependencyCheck.xmlReportPath=target/dependency-check-report.xml -Dsonar.dependencyCheck.htmlReportPath=target/dependency-check-report.html

 

注:sonar-maven-plugin的版本需要在3.6以上。

<plugin>
    <groupId>org.sonarsource.scanner.maven</groupId>
    <artifactId>sonar-maven-plugin</artifactId>
    <version>3.6.0.1398</version>
</plugin>

5.在sonarqube中查看dependency-check报告。
在sonarqube控制台找到对应的项目，然后点击更多，点击Dependency-Check即可看到报告。