什么是 JFrog Xray?
JFrog Xray 是一款通用的软件成分分析 (SCA) 工具,旨在为您的软件供应链提供安全和合规性管理。它与 JFrog Artifactory 无缝集成,对您的软件制品、容器镜像和依赖项执行深度递归扫描。通过识别已知的安全漏洞并确保许可证合规性,Xray 在 DevSecOps 管道中充当关键的守门人,防止有风险的组件进入生产环境。
主要特点
- 深度递归扫描: Xray 分析您软件中的每个组件,包括二进制文件、容器层和存档中的依赖项,以创建完整的组件图。
- 全面的漏洞情报: 它利用来自多个来源(包括 NVD 和 VulnDB)的数据来丰富其发现,提供准确和最新的漏洞信息。
- 许可证合规性: 定义策略来管理和强制执行开源许可证合规性,自动检测和标记不合规的许可证。
- 影响分析: 组件图使您能够立即了解新发现漏洞的影响,准确显示哪些制品和应用程序受到影响。
- CI/CD 集成: 与 Jenkins、GitLab CI 和 Azure DevOps 等流行的 CI/CD 工具原生集成,以在您的管道中自动执行安全扫描和策略实施。
- 策略驱动的执行: 创建灵活的安全和许可证策略(称为“Watches”),以自动触发操作,如发送通知、阻止下载或使构建失败。
使用案例
- DevSecOps 自动化: 将安全扫描直接嵌入到 CI/CD 流程中,以便在开发生命周期的早期发现漏洞。
- 软件供应链安全: 防止恶意或易受攻击的开源组件被整合到您的软件中。
- 合规与审计: 生成关于安全漏洞和许可证使用的全面报告,以满足内部和外部审计要求。
- 风险管理: 根据漏洞的严重性及其对您特定应用程序的影响,主动识别和优先处理漏洞。
入门指南
使用 Xray 的一种常见方法是将其与 JFrog CLI 集成以扫描您项目的依赖项。在将 Xray 与 JFrog Artifactory 设置好之后,您可以从项目目录中运行扫描。
首先,使用您的平台详细信息配置 JFrog CLI: ```bash
配置您的 JFrog 平台服务器
jfrog config add
然后,导航到您的项目目录并启动依赖项扫描: ```bash
对于 npm 项目,首先安装依赖项
npm install
使用 Xray 审计项目依赖项
jfrog rt audit
此命令将您项目的依赖关系图发送到 Xray,然后 Xray 返回其发现的任何安全漏洞或许可证合规性问题的报告。
定价
JFrog Xray 通过 JFrog 平台订阅提供,该订阅有多个层次,包括一个免费的云层次,提供有限的存储和数据传输。付费计划(Pro、Enterprise)提供更高级的功能、更高的容量和自托管选项,定价基于使用情况和所需功能。