JFrog Xray 有啥作用？

Posted 2023-03-14

JFrog Xray 有什么作用？

您可以通过按易受攻击的组件、受影响的制品、扫描日期、CVE ID或CVSS严重性评分进行筛选，来配置报表的范围。为了进行修复，您还可以将报表配置为显示“所有漏洞”、“已修复的漏洞”或“没有修复的漏洞”。
Xray的报表支持多种类型，主要包括：
漏洞报表，提供有关制品、内部版本和软件发行版（发行包）中的漏洞信息，以及诸如易受攻击的组件、CVE记录、CVSS分数和严重性之类的标准；
扩展资料：
一、背景

当前，随着比较常用的组件，如Tomcat、Docker、Kubernetes等陆续曝出存在高危漏洞，组件安全已成为业界日益关注的安全扫描新的重要分支。必须在DevOps流程中加强针对组件的安全扫描，这也是当前业界推荐的DevSecOps的重要组成部分。
JFrog Xray作为屡获殊荣的通用软件组成分析（SCA）解决方案，已得到全球开发人员和DevSecOps团队的信任，可以快速、连续地确定开源软件的安全漏洞和违反许可证合规性的行为。
JFrog持续努力，不断开发和创新，以为我们的客户提供更好的端到端DevSecOps体验。本文详细介绍了近期我们在JFrog Xray中添加的新功能，以帮助客户保持其准时发布的效率、质量，和安全性。

二、支持Conan包及C/C++的漏洞扫描
JFrog Xray最新支持扫描部署到JFrog Artifactory的Conan软件包以及C/C++应用构建。Conan是C/C++语言的依赖和程序包管理器，是开源的解决方案，可在所有OS平台上使用。它与所有构建系统（如CMake和Visual Studio等），以及专有系统集成在一起。Conan强大的功能是可以为任何平台和配置创建和管理预编译的二进制文件。
Xray支持以下四种Conan和C/C++构建扫描的主要场景：
Xray扫描从ConanCenter下载到Artifactory的软件包
Xray扫描基于Conan构建并已上传到Artifactory的程序包
如果您正在构建Conan软件包并将Xray集成到CI流程中，则Xray将扫描那些Conan的构建
即使您不使用Conan，Xray也会扫描您的C++构建

三、支持CVSS v3版本
为了在DevOps上取得成功，您选择的解决方案必须使您能够很好地完成一系列关键任务。让我们对比研究一下GitHub和JFrog，看看它们是否能够很好地完成您招聘所需完成的工作。
通用漏洞评分系统（CVSS）是一个开放的行业标准，用于评估软件安全漏洞的严重性。评分算法使用几种指标来分配和标记安全漏洞的严重性评分，而这些指标旨在逼近这些安全漏洞被利用的容易程度和威胁级别。
Xray从两个不同的来源收集评分和严重性：
NVD：美国国家漏洞数据库，包含已知漏洞及其各自的CVSS分数；
OS软件包安全咨询：某些开源操作系统具有自己的安全跟踪系统，可以进一步分析操作系统软件包中的漏洞。
CVSS评分的分数范围和严重程度
评分的目的是允许您根据威胁的级别确定响应和资源的优先级。分数的范围是0到10，其中最高的是10。CVSS v3还提供了严重性描述，
如下所示：

危急（Critical）

高级（High）

中级（Medium）

低级（Low）

未知（Unkown）

在Xray中设置的安全规则是根据CVSS v3得分或严重性级别（用于触发违规）来衡量的。Xray将继续支持CVSS v2评分，但仅在CVSS v3评分不可用时才使用它。
四、红帽安全扫描认证
JFrog Xray已通过Red Hat认证，成为其Red Hat Partner Vulnerability Scanner认证计划中的合作伙伴。通过认证可确保JFrog Xray识别的安全漏洞和许可证合规性数据准确，且与Red Hat软件包的预期结果一致，从而能够基于可信任的、经过认证的来源进行准确的风险评估。这意味着使用RPM软件包的企业可以放心地将JFrog平台用作其DevSecOps平台。 参考技术A JFrog Xray 是软件组合分析（SCA）工具，可以监控（OSS）软件包的安全性和合规性，并提供相应的查看视角。Xray是JFrog DevOps平台不可分割的一部分，与JFrog Artifactory集成，Artifactory可以存储和组织所有的软件构件。通过充分利用这两个解决方案，软件制品可以实现安全性和可跟踪性。
将JFrog平台 (包括Artifactory和Xray) 集成到企业组织中⌄可以实现对制品的跟踪，并使用JFrog平台构建一个安全流程。本回答被提问者采纳 参考技术B

JFrog Xray通过与JFrog Artifactory深度集成，在软件生命周期的任何阶段对二进制软件组件进行通用分析，从而使您信任您所管理的组件不存在任何安全问题。JFrog Xray通过递归方式遍历任何级别的依赖关系，扫描二进制组件及其元数据，可以提供对Artifactory中管理的任何组件中潜伏的问题做可视化展示。 另外，Xray与Artifactory的接口使其具有独特的优势，可以将Xray中扫描到的漏洞数据与Artifactory中存储的元数据相结合，在无需访问源代码的情况下，多维度的展示软件存在的问题。JFrog Xray还通过丰富的REST API实现全自动化，使其能够与CI / CD流水线集成，并允许其他二进制分析工具构建其独特的功能。

参考技术C JFrog Xray通过与JFrog Artifactory深度集成，在软件生命周期的任何阶段对二进制软件组件进行通用分析，从而使您信任您所管理的组件不存在任何安全问题。JFrog Xray通过递归方式遍历任何级别的依赖关系，扫描二进制组件及其元数据，可以提供对Artifactory中管理的任何组件中潜伏的问题做可视化展示。 另外，Xray与Artifactory的接口使其具有独特的优势，可以将Xray中扫描到的漏洞数据与Artifactory中存储的元数据相结合，在无需访问源代码的情况下，多维度的展示软件存在的问题。JFrog Xray还通过丰富的REST API实现全自动化，使其能够与CI / CD流水线集成，并允许其他二进制分析工具构建其独特的功能。