問題タブ [spotbugs]

SpotbugsのFindSecBugsプラグインを使用して、コードの静的セキュリティ分析を行いました。私のプロジェクトの一部はgradleを使用して構築され、一部はmavenを使用して構築されています。次のようなxmlレポートを提供するmavenのテストに成功しました：

BugInstance instanceOccurrenceNum="0" instanceHash="f52576b87914efbf135c588c2449648e" cweid="117" rank="15" abbrev="SECCRLFLOG" category="SECURITY" priority="3" type="CRLF_INJECTION_LOGS" instanceOccurrenceMax="0">

うまく機能しているようです。次に、Gradle についても同じことを試みました。InstanceHash 属性を取得していないようです。その属性を使用して、バグが繰り返されないようにします。報告を受けます

BugInstance type="PATH_TRAVERSAL_IN" priority="1" rank="10" abbrev="SECPTI" category="SECURITY">

私のbuild.gradleファイル：

私は何か間違ったことをしていますか？XML レポートに一部の属性が表示されないのはなぜですか?

次のようなものをキャッチするcheckstyleルールはありますか：

resultは double です (明らかに分数が必要です) が、右側は整数除算 (切り捨て) を行います。

このようなものは存在しますか？

Maven 用の spotbugs プラグインを使用する GitLab CI/CD パイプラインを使用しています。走ろうとすると

次のエラーが表示されます。

前のコマンドはローカル マシンでは機能しますが、GitLab ランナーでは失敗します。これは設定の問題 (つまり、私の pom.xml ファイルに問題がある) である可能性があると思いますが、修正方法がよくわかりません。

ここにpom.xmlがあります:

ご助力いただきありがとうございます。

spotbugs-maven-pluginを使用してspotbugsを実行しました。コマンドを実行すると、ターゲットフォルダーにXML がspotbugsXml.xmlとして作成されます。

mvn spotbugs:スポットバグ

マルチモジュール プロジェクトの場合、プロジェクトは、指定されたすべてのモジュールに対して target/spotbugsXml.xml を作成します。親ビルド ディレクトリに単一のスポットバグ xml を取得する方法はありますか?