使用最新的JFrog产品?hth华体会最新官方网站
JFrog平台用户指南


跳到元数据的末尾
转到元数据的开始

概述

本页提供了JFrog Xray的发布说明,描述了每个版本发布时所做的主要修复和增强。

下载

点击下载最新版本x光

安装

安装说明请参考安装x光


x光2.16.0

上映时间:2020年8月2日

功能增强

Go版本升级

带有Xray的Go版本已升级到1.14.6版本,解决了中描述的一些安全漏洞cve - 2020 - 15586

影响分析改进

为影响分析引入了性能改进和内存占用减少。

向索引配置API添加构建

一个新的将生成添加到索引配置Xray REST API中已经添加了API,它允许您添加新构建,只需将新构建名称提供给选择用于索引的构建列表。

解决问题

  1. 修复了RPM docker镜像在特定RPM包的索引阶段卡住的问题
  2. RabbitMQ集群逻辑的改进。

x光2.16.1

上映时间:2020年8月16日

解决问题

  1. 改进了冲击分析处理的性能。
  2. 修复了一个问题,即在某些情况下,如果数据库在一段时间内不可用(例如数据库重新启动或故障转移),工件不能正确扫描。



x光2.16.2

上映时间:2020年8月31日

功能增强

License检测改进

提高license检测性能和成功率,降低CPU利用率。

解决问题

  1. 修复了一个问题,即在某些情况下,未检测到docker映像中的PyPI包许可证。
  2. 修复了一个问题,即当扫描具有类路径异常许可的GPL-2.0组件时,Xray将其识别为GPL-2.0

x光2.16.4

上映时间:2020年9月16日

解决问题

  1. 修复了一个问题,即只有一个连接到RabbitMQ被断开,Xray不能恢复和正常工作与这个微服务队列。

x光2.16.6

上映时间:2020年10月11日

解决问题

  1. 修复了一个问题,即持续和分析进程在某些情况下崩溃,由于高内存使用。
  2. 修复了一个问题,即在强制索引Debian Docker容器时可能发生数据库连接泄漏。

x光2.16.8

上映时间:2020年10月26日

解决问题

  1. 改进了某些场景下影响分析的性能。

x光2.16.10

上映时间:2020年10月29日

解决问题

已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。

JIRA数量 描述

x光- 6465

当系统的磁盘速度较慢时,改进了索引处理的性能。

x光- 6261

修正了一个问题,即在某些情况下,Xray错误地将RPM包分类为通用包。

x光- 6494

修正了一个问题,即在某些情况下,Xray没有检测到RPM包的许可证。

x光- 6467

改进的影响分析处理。

x光- 5937

修复了当构建名称长于Xray运行的操作系统上允许的文件名时扫描构建超时失败的问题。

x光- 6222

修复了一个问题,即持续和分析进程,在某些情况下,崩溃由于高内存消耗。

x光- 6266

修复了一个问题,即在强制索引Debian Docker容器时可能发生数据库连接泄漏。

x光- 6204

修复了一个问题,即当只有一个连接到RabbitMQ断开时,Xray无法恢复并与此微服务队列正常工作。

x光2.16.11

上映时间:2020年12月3日

解决问题

JIRA数量 描述

x光- 6683

修正了x射线无法索引大型Go模块的问题。

x光- 6559

修正了一个问题,即在某些情况下,管理权限页面没有响应,需要刷新页面。

x光2.16.13

上映时间:2020年12月31日

解决问题

JIRA数量 描述

x光- 6974

修正了微软自定义免费软件许可证不被Xray识别的问题。

x光2.16.14

上映时间:2021年2月4日

解决问题

  1. 修正了一个问题,即某些损坏的ELF文件导致索引失败。

x光2.16.15

上映时间:2021年5月3日

解决问题:

  1. 修正了一个问题,即在某些情况下,DB同步错误导致Xray崩溃。

x光2.15.0

上映时间:2020年7月19日

解决问题

  1. 修正了一个问题,即当发现违规时,Xray不会发送电子邮件通知给监视收件人。
  2. 修复了u - extreme -1.1.1许可URL不正确的问题。
  3. 修复了Xray错误分类Maven工件的问题。Xray现在提供了一个迁移过程来重新索引现有的错误分类的maven构件。
  4. 修正了Alert worker消耗过多内存的问题。

x光2.14.0

上映时间:2020年6月28日

解决问题

  1. 增强了索引过程的性能。
  2. 修复了一个问题,即,在高可用性,当一个x射线节点试图启动,它会挂在初始化DB表。
  3. 修正了当没有配置策略、监视和构建时扫描构建失败的问题。错误信息被更改为更清晰和指示性。
  4. 修复了Azure DevOps Artifactory x射线扫描扩展返回x射线扫描结果的问题fail_build在任何时候都是如此。错误信息被更改为更清晰和指示性。

x光2.13.0

上映时间:2020年6月14日

解决问题

  1. 修复了一个问题,即CVE在UI的x射线数据选项卡的组件选项卡中没有显示。
  2. 修正了一个错误的问题,即由于不正确的RPM分布比较而对RPM包声明假阳性。
  3. 修正了一个问题,即x射线无法处理空manifest.json文件,防止.wh需要删除的组件。
  4. 修复了一个问题,即更新构建索引配置REST API命令缺少响应消息。

x光2.12.0

上映时间:2020年5月10日

解决问题

  1. 修复了一些Python包在Xray中无法正确索引的问题。
  2. 修正了在索引时发出无效内存地址或nil指针错误的问题去包在x光。
  3. 修复了一个问题,即在许多情况下,当Docker远程存储库配置了块下载块未扫描工件设置时,Docker pull不能正常工作。
  4. 修正了一个问题,即x射线停止工作时索引RPM文件由于高内存消耗导致内存不足的问题。
  5. 修复了工件摘要Rest API为不包含ComponentID的组件返回问题响应的问题。
  6. 修复了一个安全违规生成的问题。wh文件组件。
  7. 修复了在x射线中导出数据时,在JSON、PDF、CSV三种文件格式下显示结果不一致,PDF和CSV文件中不显示CVE的问题。
  8. 修正了一个问题,即在某些罕见的情况下,Artifactory将断开从x射线在定期许可证检查。
  9. F修复了从数据库中获取所有手表会使MongoDB过载的问题。
  10. 修正了一个问题,即抛出Bzip2错误消息,Xray停止扫描整个包。
  11. 修复了在某些情况下索引NuGet包时添加空许可证的问题。
  12. 修复了由于字符限制而导致组件持久化无法工作的问题。
  13. 修复了当工作数大于连接数时发生连接死锁的问题。

x光2.12.1

上映时间:2020年5月24日

功能增强

改进了工件删除的性能。


x光2.11.0

上映日期:2019年12月2日

功能增强

导出和导入x射线设置

您可以使用一组专用的REST api导出x射线用户自定义配置,以便导入到其他x射线实例中。当跨多个环境(开发、测试、登台和生产)复制设置时,或者移动到单个x射线与人工实例的比率时,这主要是有用的。以下设置包括策略、监视、忽略规则、自定义许可证、自定义问题、webhook、邮件服务器、代理配置和索引资源设置。有关更多信息,请参见导出和导入配置设置部分。

改进的忽略违规功能

从Xray 2.11.0开始,忽视手表上的违规行为功能,以前是有限的,已经增强,以执行一套完整的忽略违规相关的操作。无法检索在此版本之前创建的违规。此增强适用于从此版本及以上版本设置的忽略违规。在UI中,您现在可以在监视中搜索被忽略的违规,查看被忽略规则视图的安全或许可证违规信息,恢复被忽略的违规,删除被忽略的规则并恢复其先前关联的违规。方法检索所有被忽略的违规列表忽视违规行为

增加了对Bundle REST api的支持

从这个版本,你可以很容易地创建支持包在Xray REST API中。

问题解决

  1. 使用“indexAllBuilds”系统属性将所有构建设置为扫描,将导致所有构建可用,并且可以在Watch配置中的“Select builds”列表中进行选择。
  2. x射线索引过程支持特殊字符。
  3. 改进了映射Maven包的LGPL许可。
  4. 影响分析在运行JXray更新后删除MongoDB中的不良license。
  5. Artifactory中名为“Builds”的存储库被Xray正确处理。
  6. 您可以在Xray的“license管理”页面删除自定义的license类型。
  7. 使用“created”过滤器在Watch页面中过滤违规行为将返回正确的响应。
  8. 根据分支匹配Alpine组件和漏洞。
  9. 扫描构建不会因为警报队列过载而停止。
  10. 上传带有不同标签的同一张图片时,扫描结果相同。
  11. x射线阻塞目录列表。
  12. 在通过UI检索手表上的大量违规行为时提高了性能。
  13. 即使Postgres数据库名称包含特殊字符,Xray也能成功连接到Postgres。

x光14

上映日期:2019年12月30日

问题解决

  1. 修正了在某些情况下,x射线无法扫描大型构建的问题。适用于Xray 2.11.0及以上版本。
  2. 修正了在某些情况下,通过REST API执行导出组件详细信息请求失败的问题。
  3. 根据JFrog安全最佳实践,HTTP响应的浏览器缓存现在被禁用。
  4. 扫描Docker映像不会在遇到Conda包时卡住。
  5. 支持包就绪状态现在正确地显示在UI的发布包页面中。
  6. 修正了在某些情况下,Xray无法索引7zip文件的问题。

x光2.11.4

上映时间:2020年2月17日

问题解决

  1. 修复了一些DB查询导致性能不足的问题。
  2. 修复了一个问题,即重新启动Xray延长由于加载许可证到数据库。
  3. 修复了一个问题,即x射线无法索引Docker图像无效tar.gz格式
  4. 修复了Xray无法索引包含特定Python空白格式的Docker图像的问题。
  5. 修正了通过CVE搜索组件不能正常工作的问题。
  6. 修正了一个问题,即所有manifest.json文件被处理为Docker清单文件,导致索引失败。
  7. 修复了一个问题,即当部署到非docker存储库时,Xray无法索引包含以下字符的构建:a - z、a - z 0 - 9] *manifest.json文件的名字。

x光2.11.5

上映时间:2020年3月31日

功能增强

强制现有组件Rest API的完整索引

力重建索引Rest API命令允许您轻松地重新索引过去索引过的工件。如果您想重新扫描包含过去不支持但现在支持的包类型的工件,例如Go, Docker中的Python包或Alpine OS包,则此功能非常有用。

解决问题

  1. 修复了使用Xray运行NPM审计时的问题,这些漏洞是由Xray添加的,不可用链接到VulDB作为源。
  2. 修复了一个问题,即我们在扫描期间减少了PostgreSQL DB的负载。
  3. 修正了在x射线HA中触发支持包不一致的问题。
  4. 修复了扫描Docker图像以查找潜在受感染的JavaScript文件严重影响MongoDB的问题。
  5. 改善了web加载监视和策略页面的性能。
  6. 修复了支持包返回的问题request.logsx光日志。
  7. 在HA环境中使用数千个表运行Update Watch REST API v.2命令时,性能得到了改进。
  8. 运行Get Violations REST API命令从包含数百万条违规的数据库中检索特定手表的列表时,提高了性能。
  9. 改进的Debian软件包漏洞检测分布属性,用户在将Debian软件包部署到Artifactory中的本地存储库时需要提供该属性。
  10. 修正了在更新包含以前在Artifactory中删除的存储库或构建的watch时产生错误的问题。存储库和构建现在在保存监视时自动删除。
  11. 修正了策略不考虑别名的问题。
  12. 修正了x射线服务器在NPM审计期间出现内存泄漏的问题。

x光2.11.7

上映日期:2020年4月12日

问题解决
  • 改进了JFrog Xray删除工件机制的性能。

x光2.11.8

上映日期:2020年4月16日

升级到2.11.8之前

发现以下已知问题:

  • 使用更新的操作系统包索引Docker工件失败。

这个问题的修复程序在2.11.9中可用,因此,我们建议直接升级到2.11.9。

解决问题
  • 当客户拥有包含相同校验和的多个不同组件时,提高了性能。

x光2.11.9

上映日期:2020年4月26日

解决问题

  1. 影响分析性能改进。
  2. 修复了更新OS包时Docker工件索引失败的问题。只要有操作系统包(Debian/RPM/Alpine),这个问题就会发生。在一个Docker层中,在另一个层中更新或删除下一层。

x光2.10.0


上映日期:2019年10月3日

弃用的通知

从Xray 3.0开始,以下功能将被弃用或替换:

  • 第三方集成将被弃用,包括Black Duck, White Source和Aqua。JFrog不保证这些集成在升级后仍能正常工作。自2019年2月起,包括JFrog苏格兰皇家银行VulnDB作为开箱即用解决方案的一部分,它取代了对第三方集成的需求。
  • 人工x射线比例已经改变:你不能再将JFrog x射线连接到多个JFrog人工实例。现在需要x射线与人工之间的1:1比例。
  • MongoDB Deprecated: MongoDB数据库已经被PostgreSQL取代。数据迁移将作为升级过程的一部分应用。

正在建设的功能-即将到来!

以下功能将不会在Xray 3.0版本中提供:

  • x光报告我们目前正在开发新的高级报告功能,现有的报告将不会在下一个主要的Xray版本中提供。您可以使用当前存在的替代方法导出相关数据。
  • x光日志我们目前正在UI中为JFrog日志开发一种新的表示方式。JFrog日志仍然可以通过REST API访问。与Artifactory不同的是,x射线日志不会在下一个主要的x射线版本中出现在UI中,但很快就会添加进来。
  • x射线组件视图:我们已经修改了组件在UI中的显示方式,components页面将很快被替代搜索所取代。

升级到Xray 2.10之前

发现了以下已知问题:

  1. 大型二进制文件在索引期间导致内存不足。
  2. 在工件索引过程结束时,Indexer微服务的内存使用率很高

在2.10.7版本中可以修复这些问题,因此我们建议直接升级到2.10.7。

突出了

Go包支持在Xray

Xray现在支持索引和扫描Go注册表,Go模块和Go包包括递归分析、组件图集成和提供详细的元数据信息。

PHP Composer在Xray中的支持

Xray现在支持索引和扫描PHP包包括递归分析、组件图集成和提供详细的元数据信息。

功能增强

电子邮件通知现在触发更多的用户

Xray中的电子邮件通知功能已经扩展到包括以下用户部署组件看收件人关于刚刚发现的漏洞。

获取每个Watch API的组件列表

获取每个手表的组件列表API命令允许您检索与手表相关的组件(工件和包)列表。Get命令将返回校验和、路径、存储库名称、工件/包名称和版本。

扩展的License识别功能

中为许可证名称手动分配别名界面中的“license管理”界面在许可证拼写错误或添加不准确的情况下,为Xray识别许可证类型提供更大的灵活性。别名将从2.10.0版本扫描。如果您向现有许可添加别名,那么已经扫描的组件将无法识别别名,因此需要您重新索引相关构件或存储库。

问题解决

  1. 改进的事件状态在x射线中的管理方式。
  2. NuGet包名不区分大小写。
  3. 支持在CGo中提取7zip文件。
  4. 导出数据中安全问题的显示现在与UI中的显示对齐。
  5. Xray将漏洞关联到WAR文件中的特定包类型,而不仅仅是npm包。

x光2.10.1

上映日期:2019年10月7日

升级到Xray 2.10.1之前

发现以下已知问题:

  1. 大型二进制文件在索引期间导致内存不足。

在2.10.7版本中可以修复这些问题,因此我们建议直接升级到2.10.7。

问题解决

1.在升级到Xray 2.10.0之后,Artifactory现在为Go包发送索引事件。
2.增强了Golang二进制依赖项的许可证逻辑匹配。


x光2.10.4

上映时间:2019年10月24日

升级到Xray 2.10.4之前

发现以下已知问题:

  1. 在对层执行更改后,Docker索引失败。

在2.10.7版本中可以修复这些问题,因此我们建议直接升级到2.10.7。

问题解决

  1. 修正了在索引期间导致大二进制文件内存不足的问题。


x光2.10.5

上映时间:2019年10月28日

升级到Xray 2.10.5之前

发现以下已知问题:

  1. 在工件索引过程结束时,Indexer微服务的内存使用率很高

在2.10.7版本中可以修复这些问题,因此我们建议直接升级到2.10.7。

问题解决

  1. 修复了Docker索引在对层进行更改后失败的问题。

x光2.10.7

2019年11月7日上映

问题解决

  1. 修复了在工件索引过程结束时Indexer微服务内存使用率很高的问题。
  2. 改进了面向大型环境的x射线更新策略REST API。
  3. 改进了Xray的Artifactory许可证刷新机制。
页面内容


x光2.9.0

上映日期:2019年9月2日

功能增强

在Xray上使用TLS支持保护MongoDB

中配置TLS支持,可以为Xray添加额外的加密层MongoDB

改进的RabbitMQ HA集群

Xray支持完整的RabbitMQ集群,允许新节点连接到集群中的任何主节点,消除了只能连接到主节点和主节点的限制在启用添加HA节点的安装流程

增强的Python支持
  • Docker中扩展的Python包类型支持:作为我们支持Python社区努力的一部分,Xray现在除了扫描现有的Python包扩展名外,还扫描Docker映像中的Python .py文件扩展名:Whl .egg . tar.gz .tgz。
  • 扫描整个Python构建:现在,您可以在JFrog CLI 1.28.0版本之后扫描整个Python构建,该版本支持为Python构建创建构建信息
增加了UI中的队列工作器范围

UI中的队列工作者范围已增加,以便在大型系统中配置系统队列时提供灵活性。

问题解决

  1. 安全映射正确映射中等和次要问题。
  2. 创建或使用webhook将不会在响应中显示密码。
  3. 在执行自动npm audit fix命令时,由于格式问题,x射线审计修复失败。现在,npm审计修复成功运行了。
  4. Xray SaaS用户现在可以查看License管理部分。
  5. 支持包含特殊字符的密码xray_config.yaml文件。
  6. 支持在安装Docker过程中更改x射线端口。
  7. 的过滤器。重启Xray后,不返回默认设置。
  8. RabbitMQ现在是无主的,用户可以在HA安装过程中删除非活动节点。
  9. DB同步进度条显示同步进度。



x光2.8.0

上映日期:2019年4月8日

功能增强

在Xray上使用TLS支持保护PostgreSQL和RabbitMQ

中配置TLS支持,可以为Xray添加额外的加密层RabbitMQ或PostgreSQL

增加了Ubuntu 16.04和18.04对非docker安装的支持

Xray可以运行在Ubuntu 16.04和18.04的非docker安装上。

问题解决

  1. 修复了在红帽和非红帽发行版之间运行epoch比较时会产生RPM假阳性的问题。

  2. 修复了Docker索引在包含损坏文件时失败的问题。

  3. 修正了当连接字符串包含特殊字符时加密失败的问题。

  4. 修复了一个问题普尔使用某些Docker映像会导致Indexer抛出(“Slice out of bounds”)错误。

  5. 修复了在x射线登录期间设置认证提供者不会应用的问题。

  6. 修复了自签名证书无法添加到x射线Docker和非Docker安装的问题。

  7. 修复了Xray报告由于npm 3.0.4组件不匹配而存在多个不正确许可证的问题。

  8. 修复了x - forward - for标头在x射线请求日志中启用导致请求的问题看起来好像它们都是从负载平衡器的IP地址发送的。

  9. 修正了在Docker上运行Xray时处理RMQ/PSQL连接的问题,以确保无错误启动。

  10. 修正了一个呼叫home功能在独立安装时不工作的问题。

  11. 修复了在Xray中发现“AMQP明文认证安全”漏洞的问题。

  12. 修正了一个问题,即如果访问不可用,身份验证提供程序无法移动到另一个工件。

  13. 修正了索引失败时由于blob损坏而生成错误消息的问题。

已知的问题

Ubuntu 18.04支持

在这个版本中有一个已知的问题,即Xray无法安装在Ubuntu 18.04上


x光2.8.2

上映日期:2019年5月13日

升级到Xray 2.8.2之前

发现了以下已知问题:

  1. NPM审计请求失败。
  2. 在DB迁移期间,在根文件中检测到内存泄漏。
  3. 找不到包时,根文件迁移失败。
  4. 由于超时问题,根文件迁移失败。

在2.8.6版本中可以修复这些问题,因此我们建议升级到2.8.6。

功能增强

搜索根组件

从Xray 2.8.2开始x射线组件搜索默认设置为只在搜索结果中显示高级根组件列表基于部署到Artifactory的工件。您可以通过禁用此字段来选择查看整个层次结构。

问题解决

  1. 修复了一个问题在这里,作者和注释没有显示,即使它们被添加到“观察忽略规则”中。
  2. 修正了支持包页面显示不正确状态摘要的问题。
  3. 修复了支持包不能从所有HA x射线节点下载的问题。
  4. 修正了在x射线启动期间,由于PostgreSQL死锁导致分析无法启动的问题。
  5. 修复了一个可能遇到RabbitMQ连接泄漏的问题。
  6. 修正了如果配置了身份验证提供程序,则无法更改x射线管理密码的问题。

x光2.8.3

上映日期:2019年5月15日

升级到Xray 2.8.3之前

发现以下已知问题:

  1. 在DB迁移期间,在根文件中检测到内存泄漏。
  2. 找不到包时,根文件迁移失败。
  3. 由于超时问题,根文件迁移失败。

在2.8.6版本中可以修复这些问题,因此我们建议升级到2.8.6。

问题解决

  1. 修正了一个适用于Xray 2.8.2的问题,即NPM审计请求失败。

x光2.8.4

上映日期:2019年5月16日

升级到Xray 2.8.4之前

发现以下已知问题:

  1. 找不到包时,根文件迁移失败。
  2. 由于超时问题,根文件迁移失败。

在2.8.6版本中可以修复这些问题,因此我们建议升级到2.8.6。

问题解决
  1. 修复了一个问题因此,在DB迁移期间在根文件中检测到内存泄漏。

x光2.8.5

上映日期:2019年5月16日

升级到Xray 2.8.5之前

发现以下已知问题:

  1. 由于超时问题,根文件迁移失败。

在2.8.6版本中可以修复这些问题,因此我们建议升级到2.8.6。

问题解决
  1. 修复了一个问题当找不到包时,根文件迁移失败。

x光2.8.6

上映日期:2019年5月17日

问题解决
  1. 修复了一个问题由于超时问题,根文件迁移失败。

x光2.8.7


上映日期:2019年6月3日

问题解决
  1. 修正了一个问题,即高内存使用经验的x射线扫描构建时,有许多依赖。

x光2.8.8

上映时间:2019年6月24日

功能增强

Xray支持在IDE插件中显示固定版本

除了查看显示有关组件及其依赖项的漏洞信息的面板外,现在还可以在IDE插件中直接查看修复信息。

改进了Maven工件的x射线分类

除了搜索文件夹中的POM和JAR文件外,Xray还将位于Maven根目录中的工件搜索并分类为Maven工件。

多个license被添加到Xray已知license中

Xray现在可以识别使用本地文件资源中的“And”操作符分组的多个许可证。

改进的MIT许可证检测

Xray通过在NuGet包中搜索'expression'变量增加了改进的MIT许可证检测。

Xray支持外部化PostgreSQL连接池

Xray外化了PosgreSQL连接池的“最大连接”和“最大空闲连接”。

问题解决

  1. 修复了x射线扫描和标记的问题org。aist:用于许可未知的Maven包的配置组件。
  2. 修复了Xray扫描npm包中所有json文件作为许可证文件的问题。
  3. 修正了在数据库同步过程中数据库更新没有进展而被跳过的问题。
  4. 修复了一个问题,即用户使用本地安装程序可以连接到MongoDB没有凭据。
  5. 修复了Xray没有检测到一些Python .whl文件作为组件的问题。
  6. 修复了Xray在监控期间触发错误通知的问题,提醒Kubernetes中的特定服务关闭。
  7. 修正了x射线无法索引某些JAR文件的问题。
  8. 修复了x射线跳过Docker层导致扫描结果损坏的问题。
  9. 修正了x射线无法连接到外部用户的问题,如果用户名包含“@”符号。
  10. 修正了数据库同步卡住的问题而计算在SaaS。
  11. 修正了在PSQL中运行查询时收集支持包数据失败的问题。
  12. 修正了一个图像,即x射线继续产生一个违反阿尔卑斯山的图像,被修正。

x光2.8.9

上映日期:2019年6月30日

功能增强

增加了SSL证书CER文件支持

在这个版本中,不包括Docker安装的新安装,不要为MongoDB硬编码“密码”。相反,安装程序使用一个随机字符串来设置Xray密码,然后由Xray master.key加密。密码存储在/目录下文件夹作为文本文件,MongoDB_Admin_pass.txt.根据x射线的安装方式,它可能在本地用户的主目录中:~ / MongoDB_Admin_pass.txt

问题解决

  1. 修复了通过RabbitMQ缓存同步导致HA模式问题的问题。


x光2.7.0

上映日期:2019年2月12日

功能增强

增加了SSL证书CER文件支持

从Xray 2.7开始,我们扩展了SSL证书文件支持,除了现有的CRT、CRT和PEM文件支持外,还包括CER文件。CER文件用于存储X.509证书。通常用于SSL认证,用于验证和识别web服务器的安全性。CER文件可以是二进制的(ASN.1 DER),也可以是Base-64编码的(包括页眉和页脚),并且可以被Windows识别。

在RabbitMQ管理控制台中禁用“Guest”登录的自定义脚本

Xray安装过程包括安装默认启用“Guest”用户的RabbitMQ管理控制台。在Xray 2.7中,您可以运行一个脚本来禁用RabbitMQ“客人”码头工人和Linux。

RabbitMQ 3.7支持

从Xray 2.7开始,RabbitMQ从3.6版本升级到3.7。

新的API命令

问题解决

  1. 修复了Xray无法解析构建名称中包含斜杠"/"的问题。
  2. 修正了从x射线2.1升级时,手表“最低”级别重置为“所有级别”的问题。
  3. 修复了一个问题,即如果“Admin”用户从人工认证提供商中删除,则无法加载x射线用户权限。
  4. 修复了一个问题,即无效的regex文件被保存,然后Xray继续抛出一个错误时,验证它。从Xray 2.7开始,在保存过程中会拒绝无效的正则表达式文件。
  5. 修正了x射线扫描RPM OS包在某些情况下的问题。
  6. 修复了一个问题,即当运行组件搜索的严重性没有返回任何组件。
  7. 修复了一个问题,导致改进的消息日志当DB同步失败。
  8. 修复了Xray将支持包存档为zip文件而不是tar.gz文件的问题。
  9. 修正了设置手表搜索“所有存储库”失败的问题。

  10. 修复了一个手表在使用自定义日期范围选择“应用于现有内容”时失败的问题。

  11. 修正了如果现有的x射线安装安装在“/data”文件夹下,x射线无法升级的问题。

  12. 修正了即使设置了“永久忽略”选项,仍然会出现一些违规行为的问题。

  13. 修正了一个问题,即导航到管理标签失败,如果违反的过程中被加载到x射线主页。

  14. 修复了运行Scan Build REST命令返回具有多个条目共享相同校验和的文件的错误路径的问题。

x光2.7.3

上映日期:2019年3月5日

问题解决

  1. 修正了构建崩溃和x射线扫描失败的问题未启用存储库扫描时Artifactory



第2.7.4 x光

上映日期:2019年3月13日

问题解决

  1. 修复了数据库同步自动更新的问题。
  2. 改进了按最小严重性过滤组件时的搜索性能。


x光2.7.6

上映日期:2019年4月2日

问题解决

  1. 修复了x射线代理密码在x射线界面显示的问题。



x光2.6.0

上映时间:2018年12月31日

突出了

弃用通知- Snyk集成

从这个版本开始,不再支持与Snyk的内置集成。由于x射线全球数据库服务器已被增强,以包括由基本Snyk集成提供的绝大多数漏洞,具有相同或更好的详细级别,这应该对x射线漏洞扫描产生最小或没有影响。

扫描外部依赖项

这个版本将Xray的扫描功能扩展到外部(可传递的)依赖项。这意味着对于支持的包格式,当构建组件被扫描时,任何托管在外部源上的依赖项(即不物理地包含在构建工件中)也将被Xray扫描。这意味着为构建定义的任何监视和策略都将应用于内部构建工件和外部依赖项,并将相应地触发违规。

管理开源许可证和自定义许可证

JFrog x射线介绍管理许可证模块,该模块提供了市场上可用的开源许可证的全面列表,并指示扫描的每个组件使用哪些许可证。通过这个新模块,您可以定义自定义许可证,并以与分配任何其他许可证相同的方式将它们分配给组件。

功能增强

导出组件详细信息

这个版本扩展了Xray的导出功能用户界面或者通过导出组件详细信息REST API端点。对于所有支持的包格式,您现在可以导出完整的组件详细信息(而不仅仅是导出许可证报告),包括违规、许可证和安全问题。

组件详细信息中的漏洞严重性

当查看组件详细信息时,Xray现在显示在其任何依赖项中检测到的漏洞的最高严重性。


x光2.6.2

2019年1月27日发布

问题解决

  1. 修复了如果托管Artifactory实例在其Tomcat中配置为ROOT应用程序,Xray将无法扫描Docker注册表的问题。

  2. 修复了如果Docker注册表的名称包含在托管Artifactory实例的域名中,Xray将无法索引Docker注册表的问题。

  3. 修复了一个问题如果组件名称包含正斜杠(),则导出组件详细信息将失败。“/”)字符。


x光2.6.3

2019年1月30日发布

问题解决

  1. 修复了导致Xray在库扫描或影响分析的同时运行DB同步时崩溃的问题。
  2. 修复了在扫描过程中,x射线无法对某些版本格式中存在漏洞的组件进行排序的问题。
  3. 修复了Xray在没有漏洞的环境中执行DB同步时会发出许多警告的问题。

x光2.5.0

上映日期:2018年11月26日

突出了

加强机密安全

强化安全当提供加密数据(秘密)时,比如连接到外部数据库的字符串,从这个版本开始,当在Kubernetes上的Docker容器中运行Xray时,你可以在临时文件中提供秘密。Xray将在启动时加载文件中指定的参数,然后删除文件。

实时索引状态

为了更好地指示组件的扫描状态,添加了一个新的“Pending Scan”状态,表示该组件已添加到Artifactory并建立了索引,但x射线扫描尚未完成。

功能增强

忽略组件的所有问题

从这个版本开始,对于根组件,你现在可以选择忽略组件的所有违规

严重性报告方式的改进

处理漏洞严重性的方式在以下几个方面得到了增强:

命名:严重性名称现在符合CVSS v2标准,并报告为“低”,“中”或“高”。

信息严重程度:自定义问题现在可以被分配一个“信息”的严重性。

问题解决

  1. 修复了类似maven的工件在被x射线索引后显示为通用组件的问题。
  2. 修复了在创建或编辑权限时新创建的存储库不会显示为可用资源的问题。2022世界杯阿根廷预选赛赛程
  3. 修正了管理员用户无法编辑用户配置文件的问题。
  4. 修正了如果为x射线设置了身份验证提供者,则无法休息内部管理密码的问题。方法重置密码更新用户REST API端点。
  5. 修正了CVSS v3分数没有显示在违规细节弹出窗口的问题。
  6. 修复了Xray将继续尝试连接到全局漏洞数据库的问题,即使它已配置为离线同步数据库的。
  7. 修复了当Xray使用连接的Artifactory服务作为身份验证提供者时,Xray UI不会指示本地用户管理被阻止的问题。
  8. 修正了如果x射线无法连接到已定义的代理或全局数据库,则无法保存配置更新的问题。
  9. 修复了x射线不能正确打开的问题更多细节在x射线的连结x光选项卡用于Artifactory的Repository Browser中的组件。
  10. 修复了x射线无法通过代理连接人工服务的问题。
  11. 修复了向组件添加多个自定义许可证后无法删除许可证的问题。
  12. 修复了索引带有外部层的Docker映像或缺少Artifactory层的映像时,索引失败时Xray不会在日志中提供有用信息的问题。
  13. 修复了获得令牌REST API端点将生成文本字符串而不是JSON对象。
  14. 修正了某些日志信息在应该被列为[ERROR]时被列为[INFO]的问题。
  15. 修复了一个问题名过滤在一个手表上不能在Docker镜像上工作
  16. 修复了在将连接的Artifactory服务设置为身份验证提供者,创建新权限,然后切断Xray-Artifactory连接后,在安装另一个Xray实例并将其连接到Artifactory服务后,无法创建具有相同名称的新权限的问题。

x光2.5.1

上映日期:2018年12月11日

问题解决

  1. 解决了一个问题当范围边界缺失时,nil指针异常导致扫描失败。
  2. 解决了生成许可证指标导致服务器在nil指针异常时崩溃的问题。
  3. 解决了影响分析失败的问题由于Postgres死锁在尝试使用Prepare语句时。
  4. 解决了一个问题构建索引过程进入无限循环,导致同一层文件在磁盘上重复重新生成。

x光测试盒框

上映日期:2018年10月10日

突出了

手表

手表经历了重大的变化,以提高可用性和有效性,在检测违规。

每个手表有多个资源2022世界杯阿根廷预选赛赛程:现在,您可以将多个资源添加到监视中,并包括任意数量2022世界杯阿根廷预选赛赛程的存储库或构建,同时指定一组单独的过滤器来应用于每个资源。当扫描一个工件时,Xray在进入下一个工件之前处理每个资源及其过滤器。如果工件通过了所有过滤器,那么Xray将处理为Watch定义的策略,以确定应该采取什么(如果有的话)操作。

工件路径过滤器:现在您可以指定一个相对表达式来根据构件在存储库中的路径来过滤它们。这是对“Name”过滤器(以前称为“Regex”过滤器)的补充,该过滤器根据工件的名称过滤工件。

手表REST API:这个版本引入了REST API的V2版本。目前,只有与watch相关的端点已经更新,以适应此版本中对watch的重大更改。请注意,REST API是向后兼容的,并将继续支持V1端点,包括与旧版本Xray的watch相关的端点。

功能增强

高山包

Xray现在支持索引和扫描Alpine操作系统包包括递归分析、组件图集成和提供详细的元数据信息。

组件的细节

的位置选项卡的UI组件详细信息面板已经改进,可以更清楚地指示扫描组件的工件可以在哪里找到。

已知的问题

不支持GCP上的Red Hat 6

在这个版本中有一个已知的问题,即由于RHEL 6中缺少操作系统依赖,Xray无法安装在谷歌云平台(GCP)上的Red Hat 6机器上。

问题解决

  1. 修正了允许创建无效策略的问题cvss_range参数。
  2. 修正了CentOS安装程序在安装后显示错误版本号的问题。
  3. 修复了当离线DB同步被中止时UI显示错误消息的问题。
  4. 修复了一个问题500服务器内部错误错误地返回了按名称获取组件当没有找到组件时,REST API端点代替404未找到错误。
  5. 修正了由于未知许可而导致的违规有时会产生的问题,即使相应的Watch允许未知许可。
  6. 修正了如果组名包含空格字符,则组的权限不会应用于其用户的问题。
  7. 修复了一个策略不能被分配给观察的问题创建政策REST API端点。
  8. 修复了一个策略不能被分配给一个新手表的问题创建表REST API端点。
  9. 修复了在索引期间由于包含大量JavaScript文件的消息有时会导致“内存不足”错误的问题。
  10. 修复了当连接的Artifactory实例包含具有相同校验和但不同标签的多个Docker图像并且其中一个标签被删除时,它仍然会在x射线中显示无效位置的问题。
  11. 修复了在索引过程中遇到EOF错误后索引Docker映像不会失败的问题。
  12. 修复了MongoDB数据库名称被忽略的问题,即使它在连接字符串中提供。
  13. 修复了当扫描组件时某些开源许可证会被错误地检测为不同许可证的问题。例如,LGPL 2.1许可证有时会被检测为LGPL 3.0, CDDI有时会被检测为CDDL-1.0等。
  14. 修复了Xray报告的索引工件的数量有时大于存储库中托管的工件的总数的问题。
  15. 修复了x射线无法识别包含破折号(“-”)字符的Docker图像标签的问题。
  16. 修复了当使用Artifactory作为身份验证提供者时,如果用户包含在其名称中有多个空格的组中,则Xray将无法验证用户的问题。
  17. 修复了一个在Docker上的监视图像中包含属性过滤器将触发图像上的违规,即使它们不包含指定的属性。
  18. 修复了获取许可证报告组件REST API端点将为一个组件多次报告相同的监视。
  19. 修复了禁用SSL/TLS的问题邮件服务器配置使用UI将无法工作,除非mailNoSsl:真也配置在x射线的配置文件
  20. 修复了RabbitMQ, PostgreSQL和MongoDB的默认凭证将显示在x射线的配置文件在明文。这些凭证现在已加密。
  21. 修正了用户名现在可以包含连字符的问题。

x光2.4.1

上映时间:2018年10月15日

问题解决

  1. 修正了x射线将严重漏洞报告为主要的问题。

  2. 修复了影响分析队列会被关于组件中空ZIP文件的消息淹没的问题。
  3. 修正了PostgreSQL查询即使在运行数小时后也不会终止的问题
  4. 修复了即使正确配置了邮件服务器,策略的通知电子邮件操作也无法工作的问题。
  5. 修复了添加到观察中的构建资源会在观察显示中重复的问题。2022世界杯阿根廷预选赛赛程

x光2.4.2

上映时间:2018年10月25日

  1. 修正了违规邮件显示组件链接断开的问题。

x光2.4.6

2018年11月8日上映

问题解决

  1. 修复了一个无法为复杂组件创建影响分析图的问题。

  2. 修正了x射线会忽略维护清理作业的调度参数的问题。

  3. 修复了一个导致x射线显示组件细节时挂起的问题。


x光tripwire

上映日期:2018年8月20日

突出了

原生HTTPS支持

Xray现在支持在web服务器上配置SSL管理模块HTTP的设置屏幕上。缺省情况下,在config中配置了HTTP端口。剩下的就是指定指向SSL密钥和SSL证书的路径。

组件自动License报告

组件License报告in Xray帮助您保持合规,避免由于构建或工件中可能存在的有问题的组件而违反法律。根据Xray生成的元数据,可以为每个构建或工件生成一个许可证报告,该报告将列出所有直接或间接使用的OSS许可证。

x射线支持区

作为基于JFrog SLA的支持的一部分,您现在可以生成一个信息包管理模块中的支持区域屏幕上。在打开支持票据时,您可以附加信息包以加快问题的处理。

增强
策略的公共api

JFrog Xray将其策略公开给任何可以访问其REST api的外部源。通过一组简单的REST API调用,就可以创建、删除、查看和分配给手表的策略

7z索引支持

7z压缩已添加到的列表中Artifactory已经支持的压缩技术包括Tar (Bz2、Gz、Z、infl、Xp3、xz)、Zip、rpm、deb、7zip。

问题解决

  1. 修复了无法找到和删除临时文件导致持久化失败的问题。
  2. 修复了一个巨大的RabbitMQ消息导致索引器后队列过载的问题,这个问题已经通过引入文件压缩解决了。
  3. 修复了Persist从RabbitMQ获得“connection reset by peer”错误并且无法重新连接的问题。
  4. 修复了一个多文件夹的问题Docker映像不会触发违规,也不会向ci发送警报,同时让构建集保持正常状态。
  5. 修复了在ImpactAnalysis队列中失败的消息不会显示在UI中并且无法重试的问题。
  6. 修复了按属性运行watch filter不能过滤Docker Images的问题。
  7. 修正了当试用许可证过期时数据库同步停止的问题。
  8. 修复了包含特定构建名称的过滤器未被触发的问题。


x光技术

2018年8月28日发布

问题解决

  1. 修复了手表REST API端点无法工作。
  2. 修正了在Xray 2.3中引入的一个问题,当Artifactory和Xray使用试用许可证激活时,Xray将无法运行。
  3. 修正了影响分析有时会在尝试更新已索引但现在缺失的组件的许可证时失败的问题。

2.3.2 x光

2018年9月2日上映

问题解决

  1. 修复了在Artifactory中使用Crowd for Auth provider时重新启动Xray导致用户登录权限丢失的问题。
  2. 修复了升级后admin用户没有权限的问题。

x光2.3.3

2018年9月26日上映

问题解决

  1. 减少了JavaScript索引过程中的内存消耗。

x光2.2.0

2018年7月2日上映

突出了

政策

Xray引入了一个新的Policy实体来执行安全许可证合规行为,这在之前是Watch的一部分。在以前的版本中,监视包括正在扫描的目标资源,如存储库和构建,以及安全性和许可证违规标准和要采取的操作2022世界杯阿根廷预选赛赛程。从这个版本开始,为了增强可管理性和可维护性,这些功能被分开了。

政策现在,您可以创建一组规则,其中每个规则定义一个许可/安全标准,并根据您的需要创建一组相应的自动操作。

手表现在只定义您想要监视的资源的范围。2022世界杯阿根廷预选赛赛程您可以一次定义策略,并将其分配给任意多的手表。

将你想要执行的行为从你想要执行它的上下文中分离出来,可以提供以下值:

  • 效率.通过一次配置策略并将其分配给多个手表,可以减少工作并节省时间。
  • 灵活性.配置具有附加功能的多个行为,例如安全规则的优先级。
  • 单独的担忧.将权限委托给组织中的不同团队。与资源和过滤器相关的所有内容都在监视中,与安2022世界杯阿根廷预选赛赛程全性和许可证遵从性相关的所有内容都在策略中。

功能增强

  1. Xray现在可以从许可证文件中对OSS许可证进行分类,即已知的许可证类型。
  2. 增加了手动操作的能力调用对现有内容的扫描这样,刚刚定义的新手表可以立即应用,而不必等待扫描触发事件发生。
  3. 一般配置设置已增强,以提供对x射线的不同参数更多的控制。
  4. 方便地从x射线组件模块直接到Artifactory中的任何组件。
  5. 警报现已完全弃用。
  6. 增加了一个REST API端点获取和更新存储库和构建的列表,这些存储库和构建有或没有索引以进行扫描。
  7. 增加了一个REST API端点它根据一组搜索标准提供了违规列表。

x光2.2.1

2018年7月8日发布

问题解决

  1. 修复了构建中Docker映像的一些索引不工作并抛出错误的问题。

2.2.2 x光

2018年7月16日发布

问题解决

  1. 修复了当Xray安装将Artifactory实例设置为其身份验证提供者,并且从1.11.0版本升级到2.2.1版本时,Xray Admin用户最终没有权限的问题。
  2. 修复了从1.11.0及以下版本升级到2.0.0及以上版本后,设置为身份验证提供者的Artifactory实例无法成功验证Xray的问题。
  3. 修复了当x射线的基础URL以斜杠指定时,阻止Artifactory和Xray之间连接的问题。
  4. 修复了一个阻止在Artifactory实例的Artifactory ID中使用大写字母作为x射线认证提供者的问题

x光2.2.3

2018年7月17日上映

问题解决

  1. 修复了构建中Docker映像的一些索引不工作并抛出错误的问题。

x光2.2.4

2018年7月22日发布

问题解决

  1. 修复了使用CI集成(如Jenkins)时的问题,在某些情况下x射线响应会非常大并导致CI卡住。

x光魅惑

2018年5月17日发布

突出了

JFrog企业+

宣布新的Enterprise+平台,它提供了一个完整的解决方案,涵盖了在多站点开发环境中创建安全、可信和可跟踪的软件版本所涉及的所有步骤。

该解决方案与源代码版本控制、持续集成和部署工具一起工作。

JFrog Enterprise+平台包包括:

  • JFrog Artifactory所有功能都可以通过企业许可证以及Access Federation和与Artifactory Edge一起使用。
  • JFrog分布:一个预置的、集中的平台,允许您提供软件发布分发。
  • JFrog x光:在应用程序生命周期的任何阶段对二进制软件组件进行通用分析,为潜伏在组织中任何地方的组件中的问题提供前所未有的可见性。
  • JFrog任务控制中心:任务控制中的所有功能,并增加:

    • 在系统中添加Jenkins-CI、JFrog Distribution和JFrog Artifactory Edge实例作为服务并监控它们的能力

    • 通过端到端构建过程的一组指标对构建过程进行洞察和分析

Ruby Gems和Python Wheels支持

从这个版本开始,Xray支持索引和扫描红宝石的宝石Python的轮子包。这种支持包括:

  • 递归分析和全分量图积分
  • 组件元数据,包括版本、许可证和校验和
  • 手动管理的安全漏洞
OAuth集成

除了SAML/LDAP身份验证功能(在选择身份验证提供者后启用)之外,Xray还从2.1版本开始与OAuth集成。这允许您将身份验证请求委托给外部提供程序,并允许用户根据身份验证提供程序中的OAuth配置,使用带有这些提供程序的帐户登录到Xray。

监视违规搜索

现在可以了过滤手表违规行为使用新的搜索机制,根据文本,创建日期,类型,严重程度和CVE ID。

SSO支持

从Xray 2.1,SSO支持它允许您使用存储在身份验证提供者Artifactory实例中的一组用户凭据登录到所有JFrog应用程序。当应用SSO时,用户使用一组预定义的凭据登录到JFrog产品,并被授予对JFrog产品的全面访问权限。hth华体会最新官方网站SSO消除了每次访问产品时重新输入凭据的需要。

用户体验改进
  1. 监视和组件违反网格现在包含了确切的受感染组件版本以及受影响的工件名称和版本。
  2. 违反影响分析视图中的组件现在是可点击的,并将指向相关的组件详细信息。

问题解决

  1. 手表违规分类现在按预期工作

x光2.1.2

2018年6月13日发布

问题解决

  1. 修复了阻止数据库离线同步成功完成的问题。从这个版本开始,离线数据库同步需要JFrog CLI版本1.16.2或更高。

x光2.0.0

2018年4月16日发布

突出了

高可用性

JFrog Xray 2.0引入了一个高可用的双活集群架构,确保软件包的持续安全性和治理。

提高性能和弹性

现在,您可以根据需要使用尽可能多的节点来扩展x射线环境。这通过负载平衡器在可用的集群节点上委派所有工作负载,从而增强了Xray的性能。

当一个或多个节点不可用或因升级而停机时,负载由剩余节点共享,确保最佳的弹性和正常运行时间。

自动同步

Xray可以无缝、即时地同步所有集群节点上的所有数据、配置、缓存对象和计划的作业更改。

加强监控

Xray的自我监视机制(为您提供系统可用性问题)现在已经得到增强,可以让您知道哪个节点受到了影响。
此外,Xray将在一个名为“高可用性”的新页面中提供集群健康信息,显示每个节点和每个微服务的健康信息。

简易HA安装

Xray允许您在几分钟内轻松安装完整的HA集群,或者升级现有的Xray环境。

功能增强

查看违规情况

除了在组件详细信息视图中查看策略违规之外,Xray UI还增强了新违规视图它显示特定手表上下文中所有已定义的违规行为。

x射线自动升级

x射线现在可以使用“use defaults”参数自动升级,消除任何手动脚本输入。此参数对新安装使用默认配置,对升级使用现有配置。

通过CVE进行组件搜索

Xray现在允许您搜索组织中受特定安全漏洞CVE id影响的组件。


x光2.0.1

2018年4月23日发布

问题解决

  1. 修正了当查看某些监视违规时,触发该违规的组件名称不显示的问题
  2. 修复了在云原生环境(如Kubernetes)上无法设置Xray HA的问题
  3. 修复了阻止从Xray 1升级一些Docker安装的问题。x到x射线2

x光2.0.2

2018年5月6日发布

问题解决

  1. 修复了与包含Docker镜像的构建相关的多个问题

1.12 x光

2018年3月28日发布

突出了

改进了与Artifactory的集成

JFrog Xray 1.12与JFrog Artifactory 5.10联合发布,在如何集成这两个互补的应用程序方面进行了重大更改,以提高可用性和稳定性。

先升级x射线

对于JFrog Artifactory 5.10和JFrog Xray 1.12的联合发布,我们强烈建议您首先将Xray安装升级到1.12版本,然后再升级Artifactory。

扫描状态

以前,工件的扫描状态是通过使用一组属性(如索引状态、最后更新、最高漏洞严重性和块状态)注释工件来存储在Artifactory中的。从这个版本开始,这些属性将被删除。Artifactory将根据需要获取工件的扫描状态,当它在树形浏览器中被选中时。

这是一个突破性的变化,限制了Artifactory和Xray版本的兼容性,如下表所示:


x光版本
1.12 + < 1.12


Artifactory
版本

5.10 +

(勾选)

由于Artifactory和Xray都进行了升级,因此新的集成功能完全符合设计要求。

(错误)

在这种组合中,集成将无法工作,因为Artifactory的新版本将查询Xray的扫描状态,然而,旧版本的Xray没有所需的REST API端点。

< 5.10

(警告)

支持这种组合。Artifactory将继续显示每个工件的扫描状态,但是,它将使用先前使用属性的机制。

(勾选)

如果Artifactory和Xray都没有升级,那么集成将使用先前的机制将扫描状态显示为工件上的一组属性。

改进的下载阻止

从这个版本开始,下载阻止已经从Artifactory中删除,而是在Xray中配置为手表上的“阻止下载”动作。这创建了一个更加直观和一致的工作流,使您能够完全控制在一个地方有冲突的工件上的所有操作。

更好的构建控制

以前,Artifactory中的所有构建都由Xray索引,这可能会导致视觉混乱,因为快照等不太重要的构建会被索引。从这个版本开始,Xray允许您选择要索引的构建,让您将分析重点放在更重要的构建过程上。

对构建重新应用索引

在升级到Xray 1.12的过程中,索引将从所有构建中清除。要重新应用索引,需要显式地对您选择的构建应用索引

组件驱动的工作流:监视违规行为

以前,Xray以警报的形式提醒您注意漏洞。但是,由于警报可能聚集了几个问题,每个问题都可能影响多个工件和构建,因此很难理解影响特定组件的所有问题。Xray继续向组件驱动的工作流程发展,这个版本引入了看违反

手表违规直接显示在上面组件的细节面板,可以轻松识别影响组件的所有安全、许可和自定义问题。

支持额外的包类型

从这个版本开始,Xray支持索引和扫描Gradle, Ivy和SBT包。



x光1.12.1

2018年4月2日上映

问题解决

此补丁修复了在1.12版本中发现的这些问题:

  1. 修复了当Artifactory版本低于5.10时,在远程存储库上创建手表时“阻止下载”操作不起作用的问题。
  2. 修复了当使用低于5.10的人工版本时,删除自定义问题不会影响“阻止下载”动作的问题。
  3. 添加了通过配置参数通过x射线自动索引所有构建的功能。

1.11 x光

2018年2月18日发布

突出了

为组件分配OSS许可证

此版本提供了这些高级功能OSS许可功能

  • 为组件分配自定义许可证。
  • 查看原始许可证的来源- custom、JFrog或本地文件。
  • 查看许可证是直接分配给组件还是传播给组件父组件,并且是其许可列表的一部分
失败的消息

x射线现在显示所有的冲击分析和工件扫描失败在新的失败消息页面,在Admin模块中。此页面为管理员提供了一个单一的位置,他们可以在其中轻松地确定扫描和影响分析x射线过程中失败的确切步骤,从而允许他们修复问题并重试该步骤。


1.10 x光

2018年1月2日发布

突出了

Grafeas API

项目Grafeas定义了一种开放的、统一的元数据交换格式和API,它将创建一种统一的、一致的方式来生成和使用来自软件组件的元数据。通过完全支持Grafeas API, Xray可以作为Grafeas的门户,为您的软件供应链提供前所未有的丰富的元数据,这些元数据可以很容易地用于自动化审计和治理流程。Xray的这个版本公开了一组完全集成到Xray REST API中的Grafeas端点。

数据库外部化

Xray可以与许多第三方服务一起工作,比如各种数据库,这些服务之前已经预装在其他Xray微服务中。从Xray 1.10,你有更多的控制你的资源分配,你可以直接Xray使用外部RabbitMQ, MongoDB或PostgreSQL数据库在你的组织中使用。请记住,如果您指示Xray使用外部数据库,则您可以完全控制数据库,并全权负责维护和备份数据库以供Xray使用。

改进的数据库同步

数据库同步得到了显著改进,从而实现了更流畅的工作流程、数据压缩和性能提升。增强的压缩和性能提高了对暂态网络问题的稳定性和鲁棒性。根据您的硬件、网络和其他因素,这可能会使性能提高多达70%。

扩展IDE集成

除了UI改进之外,已经更新,除了支持现有的Maven包格式外,还支持扫描Gradle和npm包格式。

问题解决

  1. 提高了警报页面的性能。
  2. 修正了当忽略规则被删除时,忽略规则不能被获取的问题。
  3. 修复了事件微服务由于缺少对构建项目进行属性搜索返回的校验和而崩溃的问题。
  4. 修复了具有相同SHA256值的部署Docker镜像在分析重试队列中卡住的问题。
  5. 修复了Xray API 'Update User'命令不更新用户,并返回404错误的问题。

x光1.10.1

2018年1月4日发布

此版本包括在集成和权限页面中修复UI显示问题。


1.9 x光

2017年12月3日发布

突出了

通过外部提供者(LDAP、SAML、Crowd等)进行身份验证

通过添加通过企业LDAP/Crowd或SAML提供商对用户进行身份验证的功能,Xray中的用户管理已经大大简化。您所需要做的就是将其中一个连接的Artifactory实例定义为“身份验证提供者”。这允许您从指定的Artifactory实例导入LDAP/Crowd、SAML和内部Artifactory用户和组到Xray,然后根据需要为它们分配权限。

权限管理

这个版本引入了一个灵活的权限模型,让管理员可以细粒度地控制用户和组如何访问Xray的不同功能。“2022世界杯阿根廷预选赛赛程资源”定义权限的范围,并指定该权限应用到的连接Artifactory实例中的存储库和构建。然后,您可以指定用户和组(如上所述在Xray中内部定义或从连接的“身份验证提供者”导入),并授予他们对所选资源的权限。2022世界杯阿根廷预选赛赛程

功能增强

  1. 改进了大规模环境的索引和分析性能。

  2. 改进了Javascript文件的索引和分析过程。

  3. 改进了数据库进程,显著提高了某些递归查询的性能

问题解决

  1. 修复了Xray不会删除被移动到RabbitMQ失败队列的文件的问题。

  2. 修复了在Docker镜像中识别操作系统层及其安装包的几个问题。

  3. 修复了在大规模环境下加载大量消息会导致RabbitMQ耗尽可用内存的问题。


1.8 x光

2017年7月13日发布

突出了

内容驱动的工作流

Xray目前的工作流程是事件驱动的使用无状态信息创建警报;构建和组件在某一时刻的快照。在这个版本中,我们增加了对一个新的更直观的工作流的支持,它是内容驱动的其中,问题是基于显示的组件你感兴趣的。这对你如何导航到最相关的内容有很大的影响。高层流程可以总结为:

搜索组件→向下钻取→检查问题

增强的搜索:Xray现在提供了增强的搜索功能,允许您通过一组搜索过滤器(如包类型、问题严重性、版本等)搜索特定组件。

丰富的组件显示:从搜索结果中,您可以选择感兴趣的组件,并查看一个丰富的显示,其中提供了所选组件的所有版本的详细信息

检查问题:从组件显示中选择任何问题都会提供有关该问题的详细信息,以及对其有影响的所有工件和构建的列表。

补救建议

除了为受感染组件提供存在漏洞的全面版本列表外,内容驱动工作流中的富组件显示还指示修复了漏洞的版本(如果可用),并建议升级到该版本

JFrog IntelliJ IDEA插件

JFrog IntelliJ IDEA插件,您可以使用Xray扫描Maven项目依赖项并查看漏洞在开发期间直接从IntelliJ IDE。IDE集成支持将继续扩展到更多的行业标准IDE,以及其他包格式。

TeamCity的集成

JFrog x射线扩展了它的CI / CD集成的功能TeamCity,使您能够扫描构建,生成报告,甚至在使用已知漏洞的组件时失败构建作业。这是防止带有漏洞的构建进入生产系统的有效方法。

增强的漏洞数据

基于改进的算法和启发式方法,将不同来源的数据关联和匹配到正确的组件和版本,大大增强了对原始漏洞数据的处理。这个新的数据模型提供了更多和更准确的漏洞细节,如受感染的版本范围、修复版本等。它还可以更好地识别受感染的组件。在Maven组件的情况下,漏洞数据已被完全替换,并在加载到数据库之前经过手动管理,从而获得更好的覆盖率和更少的误报。

请注意,您需要执行数据库同步(无论您是在联机还是脱机模式下工作)来处理增强的漏洞数据。

功能增强

改进的扫描性能

扫描新构建和工件的性能已经显著提高到数量级。由于这是x射线执行的最常见的过程,因此改进结果在x射线中总体上反应更灵敏。特别是,大大提高了Docker图像分析的性能和准确性。

在构建中支持Docker镜像

封装在构建中的Docker映像现在被扫描和索引,就像任何其他构建依赖一样。

问题解决

  1. 修复了x射线将组件列出为“未知”许可的问题,即使特定的已知许可已经确定。
  2. 修复了一个带有漏洞的npm依赖项被下载的问题,即使它们在Artifactory中的托管库被设置为阻止下载。

x光1.8.0.1

2017年7月17日上映

问题解决

  1. 修正了在升级Xray到新版本时可能导致数据库迁移缓慢的问题。

x光1.8.1

2017年7月31日发布

问题解决

  1. 修复了Xray的分析过程导致组件许可证数据多次保存的问题,可能会消耗大量的内存和磁盘空间。

  2. 修正了警报中的许可证问题没有影响路径的问题。

  3. SaaS用户现在将接收带有默认邮件服务器配置的电子邮件通知。


x光1.8.2

2017年8月3日发布

问题解决

  1. 问题及其状态,包含在构建中的Docker映像中,现在可以正确传播。


x光1.8.3

2017年8月22日发布

功能增强

  1. x射线现在给你选择一个自定义的位置为您的选项x光数据PostgreSQL安装或升级过程中的目录。
  2. Xray已经经历了系统范围的性能改进,可以在几个屏幕上看到,包括组件问题在组件细节中,警报安全报告和更多。
  3. 在查看组件详细信息时,您可以过滤组件中显示的问题总结字段。
  4. 报告模块在UI显示和性能方面进行了几次改进
问题解决
  1. 修复了所有警报选项卡警报即使存在警报,屏幕也会显示为空。


x光1.8.3.1

2017年8月24日发布

问题解决
  1. 修复了在组件搜索中一些过滤器选择没有返回所有适用结果的问题。

  2. 修复了人工实例详情页面中“取消”按钮的问题。
  3. 修正了升级到Xray 1.8.3时数据迁移不能正常运行的问题,导致日志文件中出现许多错误。

x光1.8.4

2017年9月25日上映

这个版本带来了重要的OSS许可证功能,以改善许可证覆盖范围,包括从文件中解析许可证的能力,许可证内容分析和GitHub许可证匹配。

功能增强
  1. Xray现在将支持从所有流行的许可文件约定中解析OSS许可信息,例如“*”。和“license.txt”元数据文件。
  2. 现在,通过分析许可证内容并将其与已知的许可证类型进行比较,将使用一个额外的匹配逻辑层来帮助对可能稍微修改过的更多OSS许可证进行分类。
  3. Xray现在能够从GitHub获得具有GitHub页面的组件的许可信息。
  4. Xray安装程序现在支持将安装/升级输出写入安装程序日志,以便更好地跟踪。

问题解决
  1. 当不能识别许可证时,许可证选项卡现在将在选项卡标题中显示“0”。标识为“未知”的许可证将在组件详细信息页面中包含适当的占位符。

  2. 更好地处理与相同组件id关联的多个文件。
  3. Xray Docker安装不再需要root权限来运行。


于x光1.8.5

2017年10月17日发布

功能增强
  1. 工件校验和匹配-除了已经支持的组件id匹配之外,Xray现在通过校验和匹配提供更准确的结果。这对于没有适当的组件id附加到它们的文件特别有用,比如Javascript文件。
  2. 分析过程中的性能改进和内存消耗增强

x光1.8.6

2017年10月19日发布

问题解决
  1. 修正了一个问题,当Xray的索引过程会失败,在某些条件下,临时文件不会被删除,最终可能耗尽文件系统上的可用存储。

1.7 x光

2017年4月20日发布

突出了

新主页:的x光首页Page经过了完全的重新设计,可以作为一个仪表板,提供大量有用的信息。一目了然,了解您的一般系统健康状况,获得组件和警报的概述,系统扫描状态,数据库同步状态等。

功能增强

用于组件搜索的包类型过滤器:Components页面现在包含了一个Package Type过滤器,可以让您专注于特定的包类型,从而更容易搜索特定的组件。

问题解决
  1. 如果删除了外部集成,Xray现在也会删除与该集成相关的任何警报
  2. 在查看时,自定义问题现在与安全漏洞聚合在一起组件的细节以及REST API响应。
  3. 修复了一个更新与x射线索引状态相关的Artifactory属性的问题。

x光1.7.1上

2017年4月24日发布

问题解决
  1. 修正了文件路径有时会导致错误位置的问题。
  2. 修复了组件许可证迁移时的迁移问题。

x光1.7.2

2017年6月5日发布

功能增强
  1. Xray现在为构建快照添加了时间戳指示。这样可以确保每个快照都有一个唯一的名称,从而更容易使用快照。
  2. 当更新到新版本需要迁移数据库(这可能需要一些时间)时,Xray现在将显示升级的进展情况,并在升级失败时提供错误信息。
  3. Xray的日志记录功能得到了改进,因此如果您想要更改其任何服务的日志级别,则不再需要重新启动Xray。
  4. Xray的搜索功能得到了增强,因此除了包类型之外,您现在还可以根据组件类型(工件或构建)过滤搜索。
问题解决
  1. 修复了当时间戳包含Z时区指示符时解析错误导致无法创建自定义问题的问题。
  2. 修复了一个阻止x射线在Artifactory中注释包含某些特殊字符的工件的问题。
  3. 修复了当基本URL被修改时,连接的Artifactory实例的配置描述符中的x射线基本URL不会更新的问题。
  4. 修复了一些工件的状态即使在它们被扫描之后也不会被修改的问题,并且,当在Artifactory中为未扫描的工件启用下载阻止时,它们的下载被阻止。

x光1.7.2.1

2017年6月6日发布

问题解决
  1. 修复了1.7.2版本中引入的一个问题,该问题在某些情况下会导致数据库连接泄漏。

x光1.7.2.2

2017年6月8日发布

问题解决
  1. 修复了一个问题,阻止Xray同步其数据库和索引工件由于太多的空闲连接到它的PostgreSQL数据库。

x光1.7.3

2017年6月25日发布

增强

Xray现在支持设置系统日志级别为每个微服务,而无需重新启动Xray服务器。

问题解决
  1. 修复了Docker图像,其完整的图层集已经包含在另一个索引图像中,不会被索引的问题。
  2. 修复了工件的总结如果没有,则REST API端点不提供许可信息许可证或条幅许可证为手表定义的过滤器。

1.6 x光

2017年1月18日发布

CI / CD集成

JFrog Xray在您的CI/CD管道中扮演积极的角色,如果您的构建或其任何依赖项有漏洞,则指示您应该失败构建作业。您的CI服务器(目前支持Jenkins CI)现在可以向Xray发送请求来扫描上传到Artifactory的构建。根据您可能定义的监视,Xray将扫描构建,如果发现触发警报的漏洞,Xray现在可以向查询CI服务器响应构建作业应该失败。


主要更新

  1. 构建工作失败如果构建工件或其依赖项包含漏洞,则根据Watch规范。
  2. 手表的用户界面将“通知”替换为“通知”行动,并增加了失败构建作业操作以支持CI/CD集成
  3. “所有构建”添加了一个新的目标类型用于手表,这样您就可以指定上传到Artifactory的所有构建都通过x射线扫描,而不仅仅是您配置到手表中的特定构建。

x光1.6.1

2017年1月25日发布

主要更新

  1. 导致工件索引失败的问题已修复。

x光1.6.2

2017年2月12日发布

防止暴力攻击

x射线已经配备了登录协议,以防止暴力攻击。当Xray遇到同一用户多次尝试登录时,Xray稳定地增加用户在尝试再次登录之前必须等待的时间间隔。在登录失败次数达到一定数量后,用户将被锁定其帐户。此时,登录只能由x射线管理员重置。管理员可以完全控制登录失败次数,从而锁定用户。

系统日志

x射线管理员现在可以查看x射线系统日志文件管理模块,能够过滤来自Xray背后不同服务的日志消息。

主要更新

  1. 修复了配置代理服务器时阻止x射线到达全局数据库服务器的错误。
  2. 同步全局数据库到x射线时的性能已经大大提高。无论是第一次同步还是定期更新,整个进程时间都大大缩短了。
  3. 添加了一种机制来防止Xray被暴力攻击锁定用户多次登录失败。
  4. 当升级存档在与以前版本相同的文件夹中提取时阻止升级的错误已被修复。
  5. 工件的影响路径现在显示为完整的路径,包括Artifactory实例和承载受影响工件的存储库。
  6. x射线日志现在可以由管理员在管理模块系统日志页面。

x光1.6.3

2017年3月7日发布

主要更新

  1. x射线的分析过程性能有了很大的提高
  2. 生成安全报告已经得到了很大的改进,特别是对于已经索引了数千个工件的Xray实例。
  3. 警报现在可以按严重性排序,当查看细节对于选定的警报,选项卡标题还显示其严重性。
  4. 中的某些受影响的工件被忽略的错误安全报告已经修复。
  5. 一种bug离线数据库同步由于没有找到组件而失败已被修复。
  6. 扫描过程的性能有了很大的提高
  7. 当查看组件的细节页面,它的子组件的漏洞和许可证也被显示。

x光1.6.4,

2017年3月14日发布

主要更新

  1. 导致代理服务器功能失败的问题已修复。

x光1.6.5

2017年3月22日发布

主要更新

  1. 提高索引和扫描过程的性能。
  2. 提高安全报告生成的性能。

1.5 x光

2017年1月4日发布

依赖图api

JFrog Xray将其依赖关系图公开给任何可以访问其REST api的外部源。通过一个简单的REST API调用,您现在就可以以JSON对象的形式接收任何组件或构建的完整依赖关系图,或者比较任何两个组件或构建的依赖关系图,以清楚地指示它们之间的差异,并轻松地了解可能引入问题和漏洞的新依赖关系。

编辑系统手表

当Artifactory中的存储库被配置为阻止下载时,将创建系统监视。为了提供更多的灵活性和更精细的控制警报何时应该生成,系统手表现在可以由Xray管理员用户编辑。

未知的许可证

处理具有未知许可的组件是您组织的策略问题。Xray现在允许您指定这些组件是否应该触发警报。


主要更新

  1. 依赖图api允许您获得任何的图工件构建,并比较任意两个工件构建
  2. 系统表现在可以由Admin用户编辑。
  3. 允许和禁止的许可证过滤器现在允许您指定“Unknown”,这样您就可以决定具有未知许可的组件是否应该触发警报。
  4. 当索引Docker映像时,Xray现在也在映像操作系统层索引Debian和RPM包。
  5. 新员工培训向导UI的可用性得到了改进,并允许对选定的存储库进行就地索引。
  6. 安全报告显示得到了改进。

x光1.5.1

2017年1月9日发布

主要更新

  1. 修复了导致数据库连接泄漏的问题
  2. 固定处理的gzip文件无效的头

x光1.5.2

2017年1月10日发布

主要更新

  1. 修复了一个阻止微服务向系统日志写入条目的问题


1.4 x光

2016年12月20日发布

安全报告

JFrog Xray添加了一个新的报告,该报告向您显示代码中哪些漏洞具有最深远的影响,代码库中哪些组件具有最多报告的漏洞,以及最近检测到的漏洞和受感染的组件。

黑鸭集成

JFrog Xray已与Black Duck Software集成为新的外部漏洞提供商。Black Duck通过帮助您遵守开放源码许可要求并提供有关在开放源码组件中发现的漏洞的安全警报,使保护和管理开放源码软件的过程自动化。

主要更新

  1. 安全报告
  2. 黑鸭集成

1.3 x光

2016年12月4日上映

提高新员工培训

登录体验在几个方面得到了改进,包括指导您完成配置Xray的第一个基本步骤的向导。

集成

集成UI已被修改,以更加灵活和有效地适应与外部问题和漏洞提供者的任意数量的集成。

工件和构建摘要REST API

工件和构建摘要REST API端点提供了关于工件或构建的一般信息,以及与它们相关的问题和OSS许可的聚合列表。


主要更新

  1. 入职改进包括一个新员工培训向导
  2. 灵活的UI集成
  3. 工件的总结建设总结REST api

1.2 x光

2016年11月6日上映

许可证的报告

生成一个报告,显示由Xray索引的工件所使用的开源许可的分布,以及它们对系统中所有表中定义的“允许的许可”和“禁止的许可”过滤器的遵从性。

系统状态

Xray现在监控各种系统参数,并报告其状态,让您轻松诊断问题。

问题过滤器

现在,您可以根据与索引工件相关的问题的最小严重程度在监视上创建过滤器。

主要更新
  1. 许可证的报告用于分发OSS许可证和遵守定义的表。
  2. 自我监控系统状态
  3. 校验和计算已通过异步运行进行了优化。
  4. 问题过滤器基于与工件相关的问题的最小严重性。

1.1 x光

2016年9月22日上映

支持旧版本的Artifactory

JFrog Xray现在支持所有版本的JFrog Artifactory从v4.0及以上

与全局数据库服务器同步

以前,Xray会在设定的时间间隔内自动与全局数据库服务器同步。为了更好地控制系统资源的使用,您现在可以手动调用初始同步并使用全局数据库服务器进行更新,并在必要时暂停2022世界杯阿根廷预选赛赛程/恢复同步。

支持非docker安装

除了Docker之外,JFrog Xray现在还可以安装在各种版本中,包括Ubuntu、CentOS、Red Hat和Debian。

支持下载阻止

JFrog Xray将注释在任何连接的JFrog Artifactory实例中被识别为问题的工件,以便Artifactory管理员可以阻止该工件的下载。

与Aqua集成

如果你有Aqua的帐户,这个集成可以让你使用你的Aqua API密钥启用他们的feed作为警报源。

OSS许可策略

现在,您可以通过定义基于OSS license白名单或黑名单的手表过滤器来实现OSS license策略。系统中任何没有通过您定义的过滤器的组件都将生成警报。

主要更新
  1. 支持旧版本的Artifactory - v4.0及以上版本
  2. 对资源的可见性和控制2022世界杯阿根廷预选赛赛程与全局数据库服务器同步
  3. 支持Linux安装
  4. 支持下载阻塞
  5. 支持手动调用和操作同步使用全局数据库服务器
  6. 集成阿卡
  7. OSS许可策略
  8. 通过an连接到ArtifactoryHTTP代理

1.0 x光

2016年8月1日

JFrog为第一个正式发布的JFrog Xray 1.0感到自豪。根据几周前发布的“预览”版本的用户反馈,这个版本呈现了巨大的变化。

简单的新员工培训

开始使用Xray的整个入职过程在Xray内完成。这包括添加Artifactory实例、指定用于索引的存储库、触发索引和获取索引过程的状态。

统一的分析

手表和警报现在可以聚合所有类型的分析。您只需为a定义您感兴趣的上下文(存储库、构建或所有工件),并查看有关检测到的问题和在结果警报中受影响的工件的聚合信息。

关注最相关的问题和警报

现在,您可以选择忽略已解决或您不感兴趣的警报或问题,无论是针对特定警报实例还是永久忽略。

集成

虽然JFrog Xray预先配置了一个问题数据库和受影响的软件构件,但它也可以与其他漏洞提供程序集成。这个版本可以添加Whitesource,这是一个简单但功能强大的开源安全和许可证管理解决方案。

手动调用扫描

一个新的将只适用于新工件或创建后出现的问题。这个版本增加了手动运行分析和应用新分析的能力关于现有的文物和问题。

主要更新
  1. 简单的新员工培训
  2. 的统一分析手表
  3. 关注使用的重要问题“忽略”规则
  4. 集成Whitesource
  5. 手动调用扫描
  6. 查看所有警报或仅查看基于的警报你定义的手表
  7. 支持HTTP代理与外部网络通信。

x光1.0.2

2016年8月11日

这是一个小更新,修复了索引的问题,并增加了对x射线消耗的存储的限制。

主要更新
  1. 修复了在某些情况下导致索引过程终止的问题。
  2. Xray现在限制了它在下载用于索引的工件时使用的存储空间。

x光预览

2016年7月3日

JFrog自豪地发布JFrog Xray!

JFrog Xray执行通用工件分析,递归地扫描二进制包的所有层,以提供彻底的透明度和对软件架构的无与伦比的洞察力。JFrog Xray适用于大多数包格式,并与JFrog Artifactory完全集成。

首页

主屏幕是您的仪表板,您可以在其中监控Artifactory实例x射线连接,组件图形和警报。

手表

监视是否存在问题的工件,如果发现问题就触发警报。一个扫描watch监视Artifactory中的指定构建或存储库,并在发现任何有问题的依赖项时触发警报。一个影响分析watch监听所有供应商向Xray传输的信息,并对其数据库中的所有组件执行影响分析,以发现报告的任何问题。

警报

警报提供有关在任何组件中发现的任何问题的详细信息,显示组件层次结构中的完整感染路径。

组件

查看存储库中的组件关系,以了解一个组件如何影响其他组件。

REST API

通过丰富的Xray REST API自动化组件分析。