1.在自己專案中的pom.xml中加入對應的dependency和plugin。
pom.xml檔案

<dependency>
    <groupId>org.owasp</groupId>
    <artifactId>dependency-check-maven</artifactId>
    <version>6.1.5</version>
</dependency>

<plugin>
            <groupId>org.owasp</groupId>
            <artifactId>dependency-check-maven</artifactId>
            <version>6.1
 
.5</version>
            <executions>
            <execution>
                <goals>
                    <goal>check</goal>
                </goals>
            </execution>
            </executions>
            <configuration>
                   <!-- Generate all report formats -->  
                   <format>ALL</format>  
                   <!-- Don'
 
t use Nexus Analyzer -->  
                   <centralAnalyzerEnabled>false</centralAnalyzerEnabled>  
                   <!-- Am I the latest version? -->  
                   <versionCheckEnabled>true</versionCheckEnabled>  
             </configuration> 
</plugin>

2.在命令列中執行 mvn clean compile dependency-check:check，即可。
3.在sonarqube中安裝dependency-check外掛
dependency-check外掛下載地址：dependency-check
下載使用以下命令生成jar包

> $ mvn clean package

將外掛放入sonarqube的外掛目錄$SONAR_INSTALL_DIR/extensions/plugins，並且重啟sonarqube
4.執行以下命令將dependency-check報告上傳到sonarqube

mvn sonar:sonar -Dsonar.dependencyCheck.jsonReportPath=target/dependency-check-report.json -Dsonar.dependencyCheck.xmlReportPath=target/dependency-check-report.xml -Dsonar.dependencyCheck.htmlReportPath=target/dependency-check-report.html

注:sonar-maven-plugin的版本需要在3.6以上。

<plugin>
    <groupId>org.sonarsource.scanner.maven</groupId>
    <artifactId>sonar-maven-plugin</artifactId>
    <version>3.6.0.1398</version>
</plugin>

5.在sonarqube中檢視dependency-check報告。
在sonarqube控制檯找到對應的專案，然後點選更多，點選Dependency-Check即可看到報告。