概述
JFrog Xray是一种通用的软件组合分析(SCA)解决方案,本机集成了Artifactory,为开发人员和DevSecOps团队提供了一种简单的方法,可以在开源漏洞和许可证违规问题出现在产品版本之前主动识别它们。
主要特性和功能
早期检测
Xray早在依赖项声明阶段就能识别安全漏洞和许可证违规,并在开发过程中阻止存在安全问题的构建。在从代码到产品的整个软件开发生命周期中,对软件工件和依赖项进行自动化和持续的治理和审计。
现场,云,混合或多云解决方案
x射线可以在prem(自我管理)和云上使用。Xray云托管在您选择的亚马逊网络服务、谷歌云平台或微软Azure上,允许您通过自动服务器备份、免费更新和保证正常运行时间来维护基础设施。
深度递归扫描
x射线递归扫描工件,构建和发布包在您的系统中,深入分析影响软件的最小二进制组件。例如,当分析Docker图像时,如果Xray发现它包含Java应用程序,它也会分析所有的. jar
此应用程序中使用的文件。
持续影响分析
Xray分析一个组件中的问题如何影响公司中的所有其他组件,并在组件图中显示影响链,使您能够清楚地了解一个组件对另一个组件的影响。它不断更新新的安全漏洞,执行影响分析,以确定受问题影响的所有工件。
与Artifactory的本地集成
Xray是唯一的安全扫描工具,本机集成与JFrog Artifactory。
作为一种补充产品JFrog Artifactory, Xray可以访问丰富的元数据Artifactory存储,结合深度递归扫描,将Xray置于一个独特的位置,以分析二进制工件之间的关系,并为组件架构提供根本的透明度,以揭示一个组件中的漏洞对任何其他组件的影响。
漏洞数据库
Xray附带JFrog的漏洞数据库,我们不断向其中添加新的组件漏洞数据。还包括VulnDB,业界最全面的安全数据库,以进一步扩大您可以扫描的漏洞范围。
自定义api驱动自动化
通过一个开放的REST API, Xray允许您为系统中的所有组件定义自动分析的自定义方案。
依赖扫描
年代你的来源的依赖关系使用JFrog CLI查找漏洞和许可证违规。
按需二进制扫描
指向一个二进制在您的本地文件系统中,使用JFrog CLI收到一个报告,其中包含漏洞列表和该二进制文件的许可。
通用伪影分析
与…一致JFrog的通用方法,JFrog Xray通过CI/CD管道执行所有主要包格式的工件分析。Xray了解每个包类型,知道如何解包以及每个底层包含什么。
Xray目前支持以下包格式,并定期添加新格式。
去 |
x射线扫描和索引您的Go注册表,Go模块和Go包包括递归分析,组件图集成,并提供详细的元数据信息。 |
PHP |
Xray递归扫描你的注册表,Zip文件或Docker/容器中的PHP Composer包,无论它们是本地的还是远程的。Xray还检查PHP构建中的任何依赖项。 |
Maven |
使用Xray扫描Maven项目依赖项,并直接从IntelliJ IDE中查看漏洞JFrog IntelliJ Maven插件. |
鲍尔 |
Xray扫描您的Bower包并执行影响分析,以确保组织中的所有组件不受任何违规行为的影响。 |
Gradle |
递归地扫描Gradle包的不同层及其依赖关系,并使用Xray的组件图来显示任何检测到的问题对服务和应用程序的影响。 |
艾薇 |
Xray扫描您的Ivy包并执行影响分析,以确保组织中的所有组件不受任何违规行为的影响。 |
SBT |
递归扫描SBT包并识别组织中受漏洞影响的所有组件,并监视检测到的新问题和漏洞的组件。 |
npm |
Xray识别npm包中的每个Javascript文件,并对每个文件执行匹配和分析,以确保你的npm应用程序可以安全使用。 |
NuGet |
Xray扫描NuGet包,递归地通过依赖关系层来发现任何深度的问题和漏洞。 |
PyPI |
Xray递归地打开Python包的不同层及其依赖项,发现可能影响组织的任何问题和漏洞。 |
码头工人 |
x射线可以识别Docker图像的每一层中包含的每个组件。这包括在基本映像层识别部署在操作系统上的包。 |
Debian |
Xray识别部署在Debian或Ubuntu操作系统上的Debian包,这些包运行在Docker容器的基础层上。扫描每个组件的问题和漏洞,让您最大限度地了解您的软件依赖关系。 |
RPM |
Xray识别部署在RedHat或CentOS操作系统上运行在Docker容器基础层上的RPM包。扫描每个组件的问题和漏洞,让您最大限度地了解您的软件依赖关系。 |
RubyGems |
Xray为您的软件架构提供了透明度,递归地扫描RubyGems包的所有依赖关系级别,以发现问题和漏洞。 |
Alpine |
x射线现在扫描和索引您的高山存储库和高山包,包括递归分析,组件图集成,并提供详细的元数据信息。 |
柯南 |
x射线现在扫描柯南包和柯南构建的问题和漏洞。x光检查发现这些问题conanmanifest.txt 文件。有关更多信息,请参见柯南和C/ c++支持x射线. |
C / c++ |
Xray现在扫描C/ c++构建中的C/ c++依赖项,以识别这些构建中的漏洞。有关更多信息,请参见柯南和C/ c++支持x射线. |
谷歌disroless Images |
x射线现在可以扫描了谷歌disroless Images只包含您的应用程序及其运行时依赖项。 |
1评论
Prasanna Raghavendra