使用最新的JFrog产品?hth华体会最新官方网站
JFrog平台用户指南
JFrog x射线x文档
要获取最新版本,请访问JFrog统一平台
x光2.9.0
上映日期:2019年9月2日
功能增强
在Xray上使用TLS支持保护MongoDB
中配置TLS支持,可以为Xray添加额外的加密层MongoDB.
改进的RabbitMQ HA集群
Xray支持完整的RabbitMQ集群,允许新节点连接到集群中的任何主节点,消除了只能连接到主节点和主节点的限制在启用添加HA节点的安装流程.
增强的Python支持
- Docker中扩展的Python包类型支持:作为我们支持Python社区努力的一部分,Xray现在除了扫描现有的Python包扩展名外,还扫描Docker映像中的Python .py文件扩展名:.Whl .egg . tar.gz .tgz。
- 扫描整个Python构建:现在,您可以在JFrog CLI 1.28.0版本之后扫描整个Python构建,该版本支持为Python构建创建构建信息
增加了UI中的队列工作器范围
的UI中的队列工作者范围已增加,以便在大型系统中配置系统队列时提供灵活性。
问题解决
- 安全映射正确映射中等和次要问题。
- 创建或使用webhook将不会在响应中显示密码。
- 在执行自动npm audit fix命令时,由于格式问题,x射线审计修复失败。现在,npm审计修复成功运行了。
- Xray SaaS用户现在可以查看License管理部分。
- 支持包含特殊字符的密码xray_config.yaml文件。
- 支持在安装Docker过程中更改x射线端口。
x光2.8.0
上映日期:2019年4月8日
功能增强
在Xray上使用TLS支持保护PostgreSQL和RabbitMQ
中配置TLS支持,可以为Xray添加额外的加密层RabbitMQ或PostgreSQL.
增加了Ubuntu 16.04和18.04对非docker安装的支持
Xray可以运行在Ubuntu 16.04和18.04的非docker安装上。
问题解决
修复了在红帽和非红帽发行版之间运行epoch比较时会产生RPM假阳性的问题。
修复了Docker索引在包含损坏文件时失败的问题。
修正了当连接字符串包含特殊字符时加密失败的问题。
修复了一个问题普尔使用某些Docker映像会导致Indexer抛出(“Slice out of bounds”)错误。
修复了在x射线登录期间设置认证提供者不会应用的问题。
修复了自签名证书无法添加到x射线Docker和非Docker安装的问题。
修复了Xray报告由于npm 3.0.4组件不匹配而存在多个不正确许可证的问题。
修复了x - forward - for标头在x射线请求日志中启用导致请求的问题看起来好像它们都是从负载平衡器的IP地址发送的。
修正了在Docker上运行Xray时处理RMQ/PSQL连接的问题,以确保无错误启动。
修正了一个呼叫home功能在独立安装时不工作的问题。
修复了在Xray中发现“AMQP明文认证安全”漏洞的问题。
修正了一个问题,即如果访问不可用,身份验证提供程序无法移动到另一个工件。
修正了索引失败时由于blob损坏而生成错误消息的问题。
已知的问题
Ubuntu 18.04支持
在这个版本中有一个已知的问题,即Xray无法安装在Ubuntu 18.04上
x光2.8.2
上映日期:2019年5月13日
升级到Xray 2.8.2之前
发现了以下已知问题:
- NPM审计请求失败。
- 在DB迁移期间,在根文件中检测到内存泄漏。
- 找不到包时,根文件迁移失败。
- 由于超时问题,根文件迁移失败。
在2.8.6版本中可以修复这些问题,因此我们建议升级到2.8.6。
功能增强
搜索根组件
从Xray 2.8.2开始x射线组件搜索默认设置为只在搜索结果中显示高级根组件列表基于部署到Artifactory的工件。您可以通过禁用此字段来选择查看整个层次结构。
问题解决
- 修复了一个问题在这里,作者和注释没有显示,即使它们被添加到“观察忽略规则”中。
- 修正了支持包页面显示不正确状态摘要的问题。
- 修复了支持包不能从所有HA x射线节点下载的问题。
- 修正了在x射线启动期间,由于PostgreSQL死锁导致分析无法启动的问题。
- 修复了一个可能遇到RabbitMQ连接泄漏的问题。
- 修正了如果配置了身份验证提供程序,则无法更改x射线管理密码的问题。
x光2.8.3
上映日期:2019年5月15日
升级到Xray 2.8.3之前
发现以下已知问题:
- 在DB迁移期间,在根文件中检测到内存泄漏。
- 找不到包时,根文件迁移失败。
- 由于超时问题,根文件迁移失败。
在2.8.6版本中可以修复这些问题,因此我们建议升级到2.8.6。
问题解决
- 修正了一个适用于Xray 2.8.2的问题,即NPM审计请求失败。
x光2.8.4
上映日期:2019年5月16日
升级到Xray 2.8.4之前
发现以下已知问题:
- 找不到包时,根文件迁移失败。
- 由于超时问题,根文件迁移失败。
在2.8.6版本中可以修复这些问题,因此我们建议升级到2.8.6。
问题解决
- 修复了一个问题因此,在DB迁移期间在根文件中检测到内存泄漏。
x光2.8.5
上映日期:2019年5月16日
升级到Xray 2.8.5之前
发现以下已知问题:
- 由于超时问题,根文件迁移失败。
在2.8.6版本中可以修复这些问题,因此我们建议升级到2.8.6。
问题解决
- 修复了一个问题当找不到包时,根文件迁移失败。
x光2.8.6
上映日期:2019年5月17日
问题解决
- 修复了一个问题由于超时问题,根文件迁移失败。
x光2.8.7
上映日期:2019年6月3日
问题解决
- 修正了一个问题,即高内存使用经验的x射线扫描构建时,有许多依赖。
x光2.8.8
上映时间:2019年6月24日
功能增强
Xray支持在IDE插件中显示固定版本
除了查看显示有关组件及其依赖项的漏洞信息的面板外,现在还可以在IDE插件中直接查看修复信息。
改进了Maven工件的x射线分类
除了搜索文件夹中的POM和JAR文件外,Xray还将位于Maven根目录中的工件搜索并分类为Maven工件。
多个license被添加到Xray已知license中
Xray现在可以识别使用本地文件资源中的“And”操作符分组的多个许可证。
改进的MIT许可证检测
Xray通过在NuGet包中搜索'expression'变量增加了改进的MIT许可证检测。
Xray支持外部化PostgreSQL连接池
Xray外化了PosgreSQL连接池的“最大连接”和“最大空闲连接”。
问题解决
- 修复了x射线扫描和标记的问题org。aist:用于许可未知的Maven包的配置组件。
- 修复了Xray扫描npm包中所有json文件作为许可证文件的问题。
- 修正了在数据库同步过程中数据库更新没有进展而被跳过的问题。
- 修复了一个问题,即用户使用本地安装程序可以连接到MongoDB没有凭据。
- 修复了Xray没有检测到一些Python .whl文件作为组件的问题。
- 修复了Xray在监控期间触发错误通知的问题,提醒Kubernetes中的特定服务关闭。
- 修正了x射线无法索引某些JAR文件的问题。
- 修复了x射线跳过Docker层导致扫描结果损坏的问题。
- 修正了x射线无法连接到外部用户的问题,如果用户名包含“@”符号。
- 修正了数据库同步卡住的问题而计算在SaaS。
- 修正了在PSQL中运行查询时收集支持包数据失败的问题。
- 修正了一个图像,即x射线继续产生一个违反阿尔卑斯山的图像,被修正。
x光2.8.9
上映日期:2019年6月30日
功能增强
增加了SSL证书CER文件支持
在这个版本中,不包括Docker安装的新安装,不要为MongoDB硬编码“密码”。相反,安装程序使用一个随机字符串来设置Xray密码,然后由Xray master.key加密。密码存储在/目录下根文件夹作为文本文件,MongoDB_Admin_pass.txt
.根据x射线的安装方式,它可能在本地用户的主目录中:~ / MongoDB_Admin_pass.txt
问题解决
修复了通过RabbitMQ缓存同步导致HA模式问题的问题。
x光2.7.0
上映日期:2019年2月12日
功能增强
增加了SSL证书CER文件支持
从Xray 2.7开始,我们扩展了SSL证书文件支持,除了现有的CRT、CRT和PEM文件支持外,还包括CER文件。CER文件用于存储X.509证书。通常用于SSL认证,用于验证和识别web服务器的安全性。CER文件可以是二进制的(ASN.1 DER),也可以是Base-64编码的(包括页眉和页脚),并且可以被Windows识别。
在RabbitMQ管理控制台中禁用“Guest”登录的自定义脚本
Xray安装过程包括安装默认启用“Guest”用户的RabbitMQ管理控制台。在Xray 2.7中,您可以运行一个脚本来禁用RabbitMQ“客人”码头工人和Linux。
RabbitMQ 3.7支持
从Xray 2.7开始,RabbitMQ从3.6版本升级到3.7。
新的API命令
导出组件详细信息API命令:该命令将指定组件的详细信息导出为JSON对象、CVS或PDF文件。
获取顶级漏洞安全报告命令:该命令生成顶级安全漏洞报告。
问题解决
- 修复了Xray无法解析构建名称中包含斜杠"/"的问题。
- 修正了从x射线2.1升级时,手表“最低”级别重置为“所有级别”的问题。
- 修复了一个问题,即如果“Admin”用户从人工认证提供商中删除,则无法加载x射线用户权限。
- 修复了一个问题,即无效的regex文件被保存,然后Xray继续抛出一个错误时,验证它。从Xray 2.7开始,在保存过程中会拒绝无效的正则表达式文件。
- 修正了x射线扫描RPM OS包在某些情况下的问题。
- 修复了一个问题,即当运行组件搜索的严重性没有返回任何组件。
- 修复了一个问题,导致改进的消息日志当DB同步失败。
- 修复了Xray将支持包存档为zip文件而不是tar.gz文件的问题。
修正了设置手表搜索“所有存储库”失败的问题。
修复了一个手表在使用自定义日期范围选择“应用于现有内容”时失败的问题。
修正了如果现有的x射线安装安装在“/data”文件夹下,x射线无法升级的问题。
修正了即使设置了“永久忽略”选项,仍然会出现一些违规行为的问题。
修正了一个问题,即导航到管理标签失败,如果违反的过程中被加载到x射线主页。
修复了运行Scan Build REST命令返回具有多个条目共享相同校验和的文件的错误路径的问题。
x光2.7.3
上映日期:2019年3月5日
问题解决
- 修正了构建崩溃和x射线扫描失败的问题未启用存储库扫描时Artifactory.
第2.7.4 x光
上映日期:2019年3月13日
问题解决
- 修复了数据库同步自动更新的问题。
- 改进了按最小严重性过滤组件时的搜索性能。
x光2.7.6
上映日期:2019年4月2日
问题解决
- 修复了x射线代理密码在x射线界面显示的问题。
x光2.6.0
上映时间:2018年12月31日
突出了
弃用通知- Snyk集成
从这个版本开始,不再支持与Snyk的内置集成。由于x射线全球数据库服务器已被增强,以包括由基本Snyk集成提供的绝大多数漏洞,具有相同或更好的详细级别,这应该对x射线漏洞扫描产生最小或没有影响。
扫描外部依赖项
这个版本将Xray的扫描功能扩展到外部(可传递的)依赖项。这意味着对于支持的包格式,当构建组件被扫描时,任何托管在外部源上的依赖项(即不物理地包含在构建工件中)也将被Xray扫描。这意味着为构建定义的任何监视和策略都将应用于内部构建工件和外部依赖项,并将相应地触发违规。
管理开源许可证和自定义许可证
JFrog x射线介绍管理许可证模块,该模块提供了市场上可用的开源许可证的全面列表,并指示扫描的每个组件使用哪些许可证。通过这个新模块,您可以定义自定义许可证,并以与分配任何其他许可证相同的方式将它们分配给组件。
功能增强
导出组件详细信息
这个版本扩展了Xray的导出功能用户界面或者通过导出组件详细信息REST API端点。对于所有支持的包格式,您现在可以导出完整的组件详细信息(而不仅仅是导出许可证报告),包括违规、许可证和安全问题。
组件详细信息中的漏洞严重性
当查看组件详细信息时,Xray现在显示在其任何依赖项中检测到的漏洞的最高严重性。
x光2.6.2
2019年1月27日发布
问题解决
修复了如果托管Artifactory实例在其Tomcat中配置为ROOT应用程序,Xray将无法扫描Docker注册表的问题。
修复了如果Docker注册表的名称包含在托管Artifactory实例的域名中,Xray将无法索引Docker注册表的问题。
修复了一个问题如果组件名称包含正斜杠(),则导出组件详细信息将失败。“/”)字符。
x光2.6.3
2019年1月30日发布
问题解决
- 修复了导致Xray在库扫描或影响分析的同时运行DB同步时崩溃的问题。
- 修复了在扫描过程中,x射线无法对某些版本格式中存在漏洞的组件进行排序的问题。
- 修复了Xray在没有漏洞的环境中执行DB同步时会发出许多警告的问题。
x光2.5.0
上映日期:2018年11月26日
突出了
加强机密安全
来强化安全当提供加密数据(秘密)时,比如连接到外部数据库的字符串,从这个版本开始,当在Kubernetes上的Docker容器中运行Xray时,你可以在临时文件中提供秘密。Xray将在启动时加载文件中指定的参数,然后删除文件。
实时索引状态
为了更好地指示组件的扫描状态,添加了一个新的“Pending Scan”状态,表示该组件已添加到Artifactory并建立了索引,但x射线扫描尚未完成。
功能增强
忽略组件的所有问题
从这个版本开始,对于根组件,你现在可以选择忽略组件的所有违规
严重性报告方式的改进
处理漏洞严重性的方式在以下几个方面得到了增强:
命名:严重性名称现在符合CVSS v2标准,并报告为“低”,“中”或“高”。
信息严重程度:自定义问题现在可以被分配一个“信息”的严重性。
问题解决
- 修复了类似maven的工件在被x射线索引后显示为通用组件的问题。
- 修复了在创建或编辑权限时新创建的存储库不会显示为可用资源的问题。2022世界杯阿根廷预选赛赛程
- 修正了管理员用户无法编辑用户配置文件的问题。
- 修正了如果为x射线设置了身份验证提供者,则无法休息内部管理密码的问题。方法重置密码更新用户REST API端点。
- 修正了CVSS v3分数没有显示在违规细节弹出窗口的问题。
- 修复了Xray将继续尝试连接到全局漏洞数据库的问题,即使它已配置为离线同步数据库的。
- 修复了当Xray使用连接的Artifactory服务作为身份验证提供者时,Xray UI不会指示本地用户管理被阻止的问题。
- 修正了如果x射线无法连接到已定义的代理或全局数据库,则无法保存配置更新的问题。
- 修复了x射线不能正确打开的问题更多细节在x射线的连结x光选项卡用于Artifactory的Repository Browser中的组件。
- 修复了x射线无法通过代理连接人工服务的问题。
- 修复了向组件添加多个自定义许可证后无法删除许可证的问题。
- 修复了索引带有外部层的Docker映像或缺少Artifactory层的映像时,索引失败时Xray不会在日志中提供有用信息的问题。
- 修复了获得令牌REST API端点将生成文本字符串而不是JSON对象。
- 修正了某些日志信息在应该被列为[ERROR]时被列为[INFO]的问题。
- 修复了一个问题名过滤在一个手表上不能在Docker镜像上工作
- 修复了在将连接的Artifactory服务设置为身份验证提供者,创建新权限,然后切断Xray-Artifactory连接后,在安装另一个Xray实例并将其连接到Artifactory服务后,无法创建具有相同名称的新权限的问题。
x光2.5.1
上映日期:2018年12月11日
问题解决
- 解决了一个问题当范围边界缺失时,nil指针异常导致扫描失败。
- 解决了生成许可证指标导致服务器在nil指针异常时崩溃的问题。
- 解决了影响分析失败的问题由于Postgres死锁在尝试使用Prepare语句时。
- 解决了一个问题的构建索引过程进入无限循环,导致同一层文件在磁盘上重复重新生成。
x光测试盒框
上映日期:2018年10月10日
突出了
手表
手表经历了重大的变化,以提高可用性和有效性,在检测违规。
每个手表有多个资源2022世界杯阿根廷预选赛赛程:现在,您可以将多个资源添加到监视中,并包括任意数量2022世界杯阿根廷预选赛赛程的存储库或构建,同时指定一组单独的过滤器来应用于每个资源。当扫描一个工件时,Xray在进入下一个工件之前处理每个资源及其过滤器。如果工件通过了所有过滤器,那么Xray将处理为Watch定义的策略,以确定应该采取什么(如果有的话)操作。
工件路径过滤器:现在您可以指定一个相对表达式来根据构件在存储库中的路径来过滤它们。这是对“Name”过滤器(以前称为“Regex”过滤器)的补充,该过滤器根据工件的名称过滤工件。
手表REST API:这个版本引入了REST API的V2版本。目前,只有与watch相关的端点已经更新,以适应此版本中对watch的重大更改。请注意,REST API是向后兼容的,并将继续支持V1端点,包括与旧版本Xray的watch相关的端点。
功能增强
高山包
Xray现在支持索引和扫描Alpine操作系统包包括递归分析、组件图集成和提供详细的元数据信息。
组件的细节
的位置选项卡的UI组件详细信息面板已经改进,可以更清楚地指示扫描组件的工件可以在哪里找到。
已知的问题
不支持GCP上的Red Hat 6
在这个版本中有一个已知的问题,即由于RHEL 6中缺少操作系统依赖,Xray无法安装在谷歌云平台(GCP)上的Red Hat 6机器上。
问题解决
- 修正了允许创建无效策略的问题
cvss_range
参数。 - 修正了CentOS安装程序在安装后显示错误版本号的问题。
- 修复了当离线DB同步被中止时UI显示错误消息的问题。
- 修复了一个问题500服务器内部错误错误地返回了按名称获取组件当没有找到组件时,REST API端点代替404未找到错误。
- 修正了由于未知许可而导致的违规有时会产生的问题,即使相应的Watch允许未知许可。
- 修正了如果组名包含空格字符,则组的权限不会应用于其用户的问题。
- 修复了一个策略不能被分配给观察的问题创建政策REST API端点。
- 修复了一个策略不能被分配给一个新手表的问题创建表REST API端点。
- 修复了在索引期间由于包含大量JavaScript文件的消息有时会导致“内存不足”错误的问题。
- 修复了当连接的Artifactory实例包含具有相同校验和但不同标签的多个Docker图像并且其中一个标签被删除时,它仍然会在x射线中显示无效位置的问题。
- 修复了在索引过程中遇到EOF错误后索引Docker映像不会失败的问题。
- 修复了MongoDB数据库名称被忽略的问题,即使它在连接字符串中提供。
- 修复了当扫描组件时某些开源许可证会被错误地检测为不同许可证的问题。例如,LGPL 2.1许可证有时会被检测为LGPL 3.0, CDDI有时会被检测为CDDL-1.0等。
- 修复了Xray报告的索引工件的数量有时大于存储库中托管的工件的总数的问题。
- 修复了x射线无法识别包含破折号(“-”)字符的Docker图像标签的问题。
- 修复了当使用Artifactory作为身份验证提供者时,如果用户包含在其名称中有多个空格的组中,则Xray将无法验证用户的问题。
- 修复了一个在Docker上的监视图像中包含属性过滤器将触发图像上的违规,即使它们不包含指定的属性。
- 修复了获取许可证报告组件REST API端点将为一个组件多次报告相同的监视。
- 修复了禁用SSL/TLS的问题邮件服务器配置使用UI将无法工作,除非
mailNoSsl:真
也配置在x射线的配置文件. - 修复了RabbitMQ, PostgreSQL和MongoDB的默认凭证将显示在x射线的配置文件在明文。这些凭证现在已加密。
- 修正了用户名现在可以包含连字符的问题。
x光2.4.1
上映时间:2018年10月15日
问题解决
修正了x射线将严重漏洞报告为主要的问题。
- 修复了影响分析队列会被关于组件中空ZIP文件的消息淹没的问题。
- 修正了PostgreSQL查询即使在运行数小时后也不会终止的问题
- 修复了即使正确配置了邮件服务器,策略的通知电子邮件操作也无法工作的问题。
- 修复了添加到观察中的构建资源会在观察显示中重复的问题。2022世界杯阿根廷预选赛赛程
x光2.4.2
上映时间:2018年10月25日
- 修正了违规邮件显示组件链接断开的问题。
x光2.4.6
2018年11月8日上映
问题解决
x光tripwire
上映日期:2018年8月20日
突出了
原生HTTPS支持
Xray现在支持在web服务器上配置SSL管理模块在HTTP的设置屏幕上。缺省情况下,在config中配置了HTTP端口。剩下的就是指定指向SSL密钥和SSL证书的路径。
组件自动License报告
的组件License报告in Xray帮助您保持合规,避免由于构建或工件中可能存在的有问题的组件而违反法律。根据Xray生成的元数据,可以为每个构建或工件生成一个许可证报告,该报告将列出所有直接或间接使用的OSS许可证。
x射线支持区
作为基于JFrog SLA的支持的一部分,您现在可以生成一个信息包在管理模块中的支持区域屏幕上。在打开支持票据时,您可以附加信息包以加快问题的处理。
增强
策略的公共api
JFrog Xray将其策略公开给任何可以访问其REST api的外部源。通过一组简单的REST API调用,就可以创建、删除、查看和分配给手表的策略.
7z索引支持
7z压缩已添加到的列表中Artifactory已经支持的压缩技术包括Tar (Bz2、Gz、Z、infl、Xp3、xz)、Zip、rpm、deb、7zip。
问题解决
- 修复了无法找到和删除临时文件导致持久化失败的问题。
- 修复了一个巨大的RabbitMQ消息导致索引器后队列过载的问题,这个问题已经通过引入文件压缩解决了。
- 修复了Persist从RabbitMQ获得“connection reset by peer”错误并且无法重新连接的问题。
- 修复了一个多文件夹的问题Docker映像不会触发违规,也不会向ci发送警报,同时让构建集保持正常状态。
- 修复了在ImpactAnalysis队列中失败的消息不会显示在UI中并且无法重试的问题。
- 修复了按属性运行watch filter不能过滤Docker Images的问题。
- 修正了当试用许可证过期时数据库同步停止的问题。
- 修复了包含特定构建名称的过滤器未被触发的问题。
x光技术
2018年8月28日发布
问题解决
- 修复了手表REST API端点无法工作。
- 修正了在Xray 2.3中引入的一个问题,当Artifactory和Xray使用试用许可证激活时,Xray将无法运行。
- 修正了影响分析有时会在尝试更新已索引但现在缺失的组件的许可证时失败的问题。
2.3.2 x光
2018年9月2日上映
问题解决
- 修复了在Artifactory中使用Crowd for Auth provider时重新启动Xray导致用户登录权限丢失的问题。
- 修复了升级后admin用户没有权限的问题。
x光2.3.3
2018年9月26日上映
问题解决
- 减少了JavaScript索引过程中的内存消耗。
x光2.2.0
2018年7月2日上映
突出了
政策
Xray引入了一个新的Policy实体来执行安全和许可证合规行为,这在之前是Watch的一部分。在以前的版本中,监视包括正在扫描的目标资源,如存储库和构建,以及安全性和许可证违规标准和要采取的操作2022世界杯阿根廷预选赛赛程。从这个版本开始,为了增强可管理性和可维护性,这些功能被分开了。
政策现在,您可以创建一组规则,其中每个规则定义一个许可/安全标准,并根据您的需要创建一组相应的自动操作。
手表现在只定义您想要监视的资源的范围。2022世界杯阿根廷预选赛赛程您可以一次定义策略,并将其分配给任意多的手表。
将你想要执行的行为从你想要执行它的上下文中分离出来,可以提供以下值:
- 效率.通过一次配置策略并将其分配给多个手表,可以减少工作并节省时间。
- 灵活性.配置具有附加功能的多个行为,例如安全规则的优先级。
- 单独的担忧.将权限委托给组织中的不同团队。与资源和过滤器相关的所有内容都在监视中,与安2022世界杯阿根廷预选赛赛程全性和许可证遵从性相关的所有内容都在策略中。
功能增强
- Xray现在可以从许可证文件中对OSS许可证进行分类,即已知的许可证类型。
- 增加了手动操作的能力调用对现有内容的扫描这样,刚刚定义的新手表可以立即应用,而不必等待扫描触发事件发生。
- 一般配置设置已增强,以提供对x射线的不同参数更多的控制。
- 方便地从x射线组件模块直接到Artifactory中的任何组件。
- 警报现已完全弃用。
- 增加了一个REST API端点获取和更新存储库和构建的列表,这些存储库和构建有或没有索引以进行扫描。
- 增加了一个REST API端点它根据一组搜索标准提供了违规列表。
x光2.2.1
2018年7月8日发布
问题解决
- 修复了构建中Docker映像的一些索引不工作并抛出错误的问题。
2.2.2 x光
2018年7月16日发布
问题解决
- 修复了当Xray安装将Artifactory实例设置为其身份验证提供者,并且从1.11.0版本升级到2.2.1版本时,Xray Admin用户最终没有权限的问题。
- 修复了从1.11.0及以下版本升级到2.0.0及以上版本后,设置为身份验证提供者的Artifactory实例无法成功验证Xray的问题。
- 修复了当x射线的基础URL以斜杠指定时,阻止Artifactory和Xray之间连接的问题。
- 修复了一个阻止在Artifactory实例的Artifactory ID中使用大写字母作为x射线认证提供者的问题
x光2.2.3
2018年7月17日上映
问题解决
- 修复了构建中Docker映像的一些索引不工作并抛出错误的问题。
x光2.2.4
2018年7月22日发布
问题解决
- 修复了使用CI集成(如Jenkins)时的问题,在某些情况下x射线响应会非常大并导致CI卡住。
x光魅惑
2018年5月17日发布
突出了
JFrog企业+
宣布新的Enterprise+平台,它提供了一个完整的解决方案,涵盖了在多站点开发环境中创建安全、可信和可跟踪的软件版本所涉及的所有步骤。
该解决方案与源代码版本控制、持续集成和部署工具一起工作。
JFrog Enterprise+平台包包括:
- JFrog Artifactory:所有功能都可以通过企业许可证以及Access Federation和与Artifactory Edge一起使用。
- JFrog分布:一个预置的、集中的平台,允许您提供软件发布分发。
- JFrog x光:在应用程序生命周期的任何阶段对二进制软件组件进行通用分析,为潜伏在组织中任何地方的组件中的问题提供前所未有的可见性。
JFrog任务控制中心:任务控制中的所有功能,并增加:
在系统中添加Jenkins-CI、JFrog Distribution和JFrog Artifactory Edge实例作为服务并监控它们的能力
通过端到端构建过程的一组指标对构建过程进行洞察和分析
Ruby Gems和Python Wheels支持
从这个版本开始,Xray支持索引和扫描红宝石的宝石和Python的轮子包。这种支持包括:
- 递归分析和全分量图积分
- 组件元数据,包括版本、许可证和校验和
- 手动管理的安全漏洞
OAuth集成
除了SAML/LDAP身份验证功能(在选择身份验证提供者后启用)之外,Xray还从2.1版本开始与OAuth集成。这允许您将身份验证请求委托给外部提供程序,并允许用户根据身份验证提供程序中的OAuth配置,使用带有这些提供程序的帐户登录到Xray。
监视违规搜索
现在可以了过滤手表违规行为使用新的搜索机制,根据文本,创建日期,类型,严重程度和CVE ID。
SSO支持
从Xray 2.1,SSO支持它允许您使用存储在身份验证提供者Artifactory实例中的一组用户凭据登录到所有JFrog应用程序。当应用SSO时,用户使用一组预定义的凭据登录到JFrog产品,并被授予对JFrog产品的全面访问权限。hth华体会最新官方网站SSO消除了每次访问产品时重新输入凭据的需要。
用户体验改进
- 监视和组件违反网格现在包含了确切的受感染组件版本以及受影响的工件名称和版本。
- 违反影响分析视图中的组件现在是可点击的,并将指向相关的组件详细信息。
问题解决
- 手表违规分类现在按预期工作
x光2.1.2
2018年6月13日发布
问题解决
- 修复了阻止数据库离线同步成功完成的问题。从这个版本开始,离线数据库同步需要JFrog CLI版本1.16.2或更高。
x光2.0.0
2018年4月16日发布
突出了
高可用性
JFrog Xray 2.0引入了一个高可用的双活集群架构,确保软件包的持续安全性和治理。
提高性能和弹性
现在,您可以根据需要使用尽可能多的节点来扩展x射线环境。这通过负载平衡器在可用的集群节点上委派所有工作负载,从而增强了Xray的性能。
当一个或多个节点不可用或因升级而停机时,负载由剩余节点共享,确保最佳的弹性和正常运行时间。
自动同步
Xray可以无缝、即时地同步所有集群节点上的所有数据、配置、缓存对象和计划的作业更改。
加强监控
Xray的自我监视机制(为您提供系统可用性问题)现在已经得到增强,可以让您知道哪个节点受到了影响。
此外,Xray将在一个名为“高可用性”的新页面中提供集群健康信息,显示每个节点和每个微服务的健康信息。
简易HA安装
Xray允许您在几分钟内轻松安装完整的HA集群,或者升级现有的Xray环境。
功能增强
查看违规情况
除了在组件详细信息视图中查看策略违规之外,Xray UI还增强了新违规视图它显示特定手表上下文中所有已定义的违规行为。
x射线自动升级
x射线现在可以使用“use defaults”参数自动升级,消除任何手动脚本输入。此参数对新安装使用默认配置,对升级使用现有配置。
通过CVE进行组件搜索
Xray现在允许您搜索组织中受特定安全漏洞CVE id影响的组件。
x光2.0.1
2018年4月23日发布
问题解决
- 修正了当查看某些监视违规时,触发该违规的组件名称不显示的问题
- 修复了在云原生环境(如Kubernetes)上无法设置Xray HA的问题
- 修复了阻止从Xray 1升级一些Docker安装的问题。x到x射线2
x光2.0.2
2018年5月6日发布
问题解决
- 修复了与包含Docker镜像的构建相关的多个问题
1.12 x光
2018年3月28日发布
突出了
改进了与Artifactory的集成
JFrog Xray 1.12与JFrog Artifactory 5.10联合发布,在如何集成这两个互补的应用程序方面进行了重大更改,以提高可用性和稳定性。
先升级x射线
对于JFrog Artifactory 5.10和JFrog Xray 1.12的联合发布,我们强烈建议您首先将Xray安装升级到1.12版本,然后再升级Artifactory。
扫描状态
以前,工件的扫描状态是通过使用一组属性(如索引状态、最后更新、最高漏洞严重性和块状态)注释工件来存储在Artifactory中的。从这个版本开始,这些属性将被删除。Artifactory将根据需要获取工件的扫描状态,当它在树形浏览器中被选中时。
这是一个突破性的变化,限制了Artifactory和Xray版本的兼容性,如下表所示:
x光版本 | |||
---|---|---|---|
1.12 + | < 1.12 | ||
Artifactory |
5.10 + | 由于Artifactory和Xray都进行了升级,因此新的集成功能完全符合设计要求。 |
在这种组合中,集成将无法工作,因为Artifactory的新版本将查询Xray的扫描状态,然而,旧版本的Xray没有所需的REST API端点。 |
< 5.10 | 支持这种组合。Artifactory将继续显示每个工件的扫描状态,但是,它将使用先前使用属性的机制。 |
如果Artifactory和Xray都没有升级,那么集成将使用先前的机制将扫描状态显示为工件上的一组属性。 |
改进的下载阻止
从这个版本开始,下载阻止已经从Artifactory中删除,而是在Xray中配置为手表上的“阻止下载”动作。这创建了一个更加直观和一致的工作流,使您能够完全控制在一个地方有冲突的工件上的所有操作。
更好的构建控制
以前,Artifactory中的所有构建都由Xray索引,这可能会导致视觉混乱,因为快照等不太重要的构建会被索引。从这个版本开始,Xray允许您选择要索引的构建,让您将分析重点放在更重要的构建过程上。
对构建重新应用索引
在升级到Xray 1.12的过程中,索引将从所有构建中清除。要重新应用索引,需要显式地对您选择的构建应用索引.
组件驱动的工作流:监视违规行为
以前,Xray以警报的形式提醒您注意漏洞。但是,由于警报可能聚集了几个问题,每个问题都可能影响多个工件和构建,因此很难理解影响特定组件的所有问题。Xray继续向组件驱动的工作流程发展,这个版本引入了看违反.
手表违规直接显示在上面组件的细节面板,可以轻松识别影响组件的所有安全、许可和自定义问题。
支持额外的包类型
从这个版本开始,Xray支持索引和扫描Gradle, Ivy和SBT包。
x光1.12.1
2018年4月2日上映
问题解决
此补丁修复了在1.12版本中发现的这些问题:
- 修复了当Artifactory版本低于5.10时,在远程存储库上创建手表时“阻止下载”操作不起作用的问题。
- 修复了当使用低于5.10的人工版本时,删除自定义问题不会影响“阻止下载”动作的问题。
- 添加了通过配置参数通过x射线自动索引所有构建的功能。
1.11 x光
2018年2月18日发布
突出了
为组件分配OSS许可证
此版本提供了这些高级功能OSS许可功能:
- 为组件分配自定义许可证。
- 查看原始许可证的来源- custom、JFrog或本地文件。
- 查看许可证是直接分配给组件还是传播给组件父组件,并且是其许可列表的一部分.
失败的消息
x射线现在显示所有的冲击分析和工件扫描失败在新的失败消息页面,在Admin模块中。此页面为管理员提供了一个单一的位置,他们可以在其中轻松地确定扫描和影响分析x射线过程中失败的确切步骤,从而允许他们修复问题并重试该步骤。
1.10 x光
2018年1月2日发布
突出了
Grafeas API
项目Grafeas定义了一种开放的、统一的元数据交换格式和API,它将创建一种统一的、一致的方式来生成和使用来自软件组件的元数据。通过完全支持Grafeas API, Xray可以作为Grafeas的门户,为您的软件供应链提供前所未有的丰富的元数据,这些元数据可以很容易地用于自动化审计和治理流程。Xray的这个版本公开了一组完全集成到Xray REST API中的Grafeas端点。
数据库外部化
Xray可以与许多第三方服务一起工作,比如各种数据库,这些服务之前已经预装在其他Xray微服务中。从Xray 1.10,你有更多的控制你的资源分配,你可以直接Xray使用外部RabbitMQ, MongoDB或PostgreSQL数据库在你的组织中使用。请记住,如果您指示Xray使用外部数据库,则您可以完全控制数据库,并全权负责维护和备份数据库以供Xray使用。
改进的数据库同步
数据库同步得到了显著改进,从而实现了更流畅的工作流程、数据压缩和性能提升。增强的压缩和性能提高了对暂态网络问题的稳定性和鲁棒性。根据您的硬件、网络和其他因素,这可能会使性能提高多达70%。
扩展IDE集成
除了UI改进之外,已经更新,除了支持现有的Maven包格式外,还支持扫描Gradle和npm包格式。
问题解决
- 提高了警报页面的性能。
- 修正了当忽略规则被删除时,忽略规则不能被获取的问题。
- 修复了事件微服务由于缺少对构建项目进行属性搜索返回的校验和而崩溃的问题。
- 修复了具有相同SHA256值的部署Docker镜像在分析重试队列中卡住的问题。
- 修复了Xray API 'Update User'命令不更新用户,并返回404错误的问题。
x光1.10.1
2018年1月4日发布
此版本包括在集成和权限页面中修复UI显示问题。
1.9 x光
2017年12月3日发布
突出了
通过外部提供者(LDAP、SAML、Crowd等)进行身份验证
通过添加通过企业LDAP/Crowd或SAML提供商对用户进行身份验证的功能,Xray中的用户管理已经大大简化。您所需要做的就是将其中一个连接的Artifactory实例定义为“身份验证提供者”。这允许您从指定的Artifactory实例导入LDAP/Crowd、SAML和内部Artifactory用户和组到Xray,然后根据需要为它们分配权限。
权限管理
这个版本引入了一个灵活的权限模型,让管理员可以细粒度地控制用户和组如何访问Xray的不同功能。“2022世界杯阿根廷预选赛赛程资源”定义权限的范围,并指定该权限应用到的连接Artifactory实例中的存储库和构建。然后,您可以指定用户和组(如上所述在Xray中内部定义或从连接的“身份验证提供者”导入),并授予他们对所选资源的权限。2022世界杯阿根廷预选赛赛程
功能增强
改进了大规模环境的索引和分析性能。
改进了Javascript文件的索引和分析过程。
改进了数据库进程,显著提高了某些递归查询的性能
问题解决
修复了Xray不会删除被移动到RabbitMQ失败队列的文件的问题。
修复了在Docker镜像中识别操作系统层及其安装包的几个问题。
修复了在大规模环境下加载大量消息会导致RabbitMQ耗尽可用内存的问题。
1.8 x光
2017年7月13日发布
突出了
内容驱动的工作流
Xray目前的工作流程是事件驱动的使用无状态信息创建警报;构建和组件在某一时刻的快照。在这个版本中,我们增加了对一个新的更直观的工作流的支持,它是内容驱动的其中,问题是基于显示的组件你感兴趣的。这对你如何导航到最相关的内容有很大的影响。高层流程可以总结为:
搜索组件→向下钻取→检查问题
增强的搜索:Xray现在提供了增强的搜索功能,允许您通过一组搜索过滤器(如包类型、问题严重性、版本等)搜索特定组件。
丰富的组件显示:从搜索结果中,您可以选择感兴趣的组件,并查看一个丰富的显示,其中提供了所选组件的所有版本的详细信息
检查问题:从组件显示中选择任何问题都会提供有关该问题的详细信息,以及对其有影响的所有工件和构建的列表。
补救建议
除了为受感染组件提供存在漏洞的全面版本列表外,内容驱动工作流中的富组件显示还指示修复了漏洞的版本(如果可用),并建议升级到该版本
JFrog IntelliJ IDEA插件
与JFrog IntelliJ IDEA插件,您可以使用Xray扫描Maven项目依赖项并查看漏洞在开发期间直接从IntelliJ IDE。IDE集成支持将继续扩展到更多的行业标准IDE,以及其他包格式。
TeamCity的集成
JFrog x射线扩展了它的CI / CD集成的功能TeamCity,使您能够扫描构建,生成报告,甚至在使用已知漏洞的组件时失败构建作业。这是防止带有漏洞的构建进入生产系统的有效方法。
增强的漏洞数据
基于改进的算法和启发式方法,将不同来源的数据关联和匹配到正确的组件和版本,大大增强了对原始漏洞数据的处理。这个新的数据模型提供了更多和更准确的漏洞细节,如受感染的版本范围、修复版本等。它还可以更好地识别受感染的组件。在Maven组件的情况下,漏洞数据已被完全替换,并在加载到数据库之前经过手动管理,从而获得更好的覆盖率和更少的误报。
请注意,您需要执行数据库同步(无论您是在联机还是脱机模式下工作)来处理增强的漏洞数据。
功能增强
改进的扫描性能
扫描新构建和工件的性能已经显著提高到数量级。由于这是x射线执行的最常见的过程,因此改进结果在x射线中总体上反应更灵敏。特别是,大大提高了Docker图像分析的性能和准确性。
在构建中支持Docker镜像
封装在构建中的Docker映像现在被扫描和索引,就像任何其他构建依赖一样。
问题解决
- 修复了x射线将组件列出为“未知”许可的问题,即使特定的已知许可已经确定。
- 修复了一个带有漏洞的npm依赖项被下载的问题,即使它们在Artifactory中的托管库被设置为阻止下载。
x光1.8.0.1
2017年7月17日上映
问题解决
- 修正了在升级Xray到新版本时可能导致数据库迁移缓慢的问题。
x光1.8.1
2017年7月31日发布
问题解决
修复了Xray的分析过程导致组件许可证数据多次保存的问题,可能会消耗大量的内存和磁盘空间。
修正了警报中的许可证问题没有影响路径的问题。
SaaS用户现在将接收带有默认邮件服务器配置的电子邮件通知。
x光1.8.2
2017年8月3日发布
问题解决
问题及其状态,包含在构建中的Docker映像中,现在可以正确传播。
x光1.8.3
2017年8月22日发布
功能增强
- x射线现在给你选择一个自定义的位置为您的选项x光数据和PostgreSQL安装或升级过程中的目录。
- Xray已经经历了系统范围的性能改进,可以在几个屏幕上看到,包括组件,问题在组件细节中,警报,安全报告和更多。
- 在查看组件详细信息时,您可以过滤组件中显示的问题总结字段。
- 的报告模块在UI显示和性能方面进行了几次改进
问题解决
修复了所有警报选项卡警报即使存在警报,屏幕也会显示为空。
x光1.8.3.1
2017年8月24日发布
问题解决
修复了在组件搜索中一些过滤器选择没有返回所有适用结果的问题。
- 修复了人工实例详情页面中“取消”按钮的问题。
- 修正了升级到Xray 1.8.3时数据迁移不能正常运行的问题,导致日志文件中出现许多错误。
x光1.8.4
2017年9月25日上映
这个版本带来了重要的OSS许可证功能,以改善许可证覆盖范围,包括从文件中解析许可证的能力,许可证内容分析和GitHub许可证匹配。
功能增强
- Xray现在将支持从所有流行的许可文件约定中解析OSS许可信息,例如“*”。和“license.txt”元数据文件。
- 现在,通过分析许可证内容并将其与已知的许可证类型进行比较,将使用一个额外的匹配逻辑层来帮助对可能稍微修改过的更多OSS许可证进行分类。
- Xray现在能够从GitHub获得具有GitHub页面的组件的许可信息。
Xray安装程序现在支持将安装/升级输出写入安装程序日志,以便更好地跟踪。
问题解决
当不能识别许可证时,许可证选项卡现在将在选项卡标题中显示“0”。标识为“未知”的许可证将在组件详细信息页面中包含适当的占位符。
- 更好地处理与相同组件id关联的多个文件。
Xray Docker安装不再需要root权限来运行。
于x光1.8.5
2017年10月17日发布
功能增强
- 工件校验和匹配-除了已经支持的组件id匹配之外,Xray现在通过校验和匹配提供更准确的结果。这对于没有适当的组件id附加到它们的文件特别有用,比如Javascript文件。
- 分析过程中的性能改进和内存消耗增强.
x光1.8.6
2017年10月19日发布
问题解决
- 修正了一个问题,当Xray的索引过程会失败,在某些条件下,临时文件不会被删除,最终可能耗尽文件系统上的可用存储。
1.7 x光
2017年4月20日发布
突出了
新主页:的x光首页Page经过了完全的重新设计,可以作为一个仪表板,提供大量有用的信息。一目了然,了解您的一般系统健康状况,获得组件和警报的概述,系统扫描状态,数据库同步状态等。
功能增强
用于组件搜索的包类型过滤器:Components页面现在包含了一个Package Type过滤器,可以让您专注于特定的包类型,从而更容易搜索特定的组件。
问题解决
- 如果删除了外部集成,Xray现在也会删除与该集成相关的任何警报
- 在查看时,自定义问题现在与安全漏洞聚合在一起组件的细节以及REST API响应。
- 修复了一个更新与x射线索引状态相关的Artifactory属性的问题。
x光1.7.1上
2017年4月24日发布
问题解决
- 修正了文件路径有时会导致错误位置的问题。
- 修复了组件许可证迁移时的迁移问题。
x光1.7.2
2017年6月5日发布
功能增强
- Xray现在为构建快照添加了时间戳指示。这样可以确保每个快照都有一个唯一的名称,从而更容易使用快照。
- 当更新到新版本需要迁移数据库(这可能需要一些时间)时,Xray现在将显示升级的进展情况,并在升级失败时提供错误信息。
- Xray的日志记录功能得到了改进,因此如果您想要更改其任何服务的日志级别,则不再需要重新启动Xray。
- Xray的搜索功能得到了增强,因此除了包类型之外,您现在还可以根据组件类型(工件或构建)过滤搜索。
问题解决
- 修复了当时间戳包含Z时区指示符时解析错误导致无法创建自定义问题的问题。
- 修复了一个阻止x射线在Artifactory中注释包含某些特殊字符的工件的问题。
- 修复了当基本URL被修改时,连接的Artifactory实例的配置描述符中的x射线基本URL不会更新的问题。
- 修复了一些工件的状态即使在它们被扫描之后也不会被修改的问题,并且,当在Artifactory中为未扫描的工件启用下载阻止时,它们的下载被阻止。
x光1.7.2.1
2017年6月6日发布
问题解决
- 修复了1.7.2版本中引入的一个问题,该问题在某些情况下会导致数据库连接泄漏。
x光1.7.2.2
2017年6月8日发布
问题解决
- 修复了一个问题,阻止Xray同步其数据库和索引工件由于太多的空闲连接到它的PostgreSQL数据库。
x光1.7.3
2017年6月25日发布
增强
Xray现在支持设置系统日志级别为每个微服务,而无需重新启动Xray服务器。
问题解决
1.6 x光
2017年1月18日发布
CI / CD集成
JFrog Xray在您的CI/CD管道中扮演积极的角色,如果您的构建或其任何依赖项有漏洞,则指示您应该失败构建作业。您的CI服务器(目前支持Jenkins CI)现在可以向Xray发送请求来扫描上传到Artifactory的构建。根据您可能定义的监视,Xray将扫描构建,如果发现触发警报的漏洞,Xray现在可以向查询CI服务器响应构建作业应该失败。
主要更新
- 构建工作失败如果构建工件或其依赖项包含漏洞,则根据Watch规范。
- 手表的用户界面将“通知”替换为“通知”行动,并增加了失败构建作业操作以支持CI/CD集成
- “所有构建”添加了一个新的目标类型用于手表,这样您就可以指定上传到Artifactory的所有构建都通过x射线扫描,而不仅仅是您配置到手表中的特定构建。
x光1.6.1
2017年1月25日发布
主要更新
- 导致工件索引失败的问题已修复。
x光1.6.2
2017年2月12日发布
防止暴力攻击
x射线已经配备了登录协议,以防止暴力攻击。当Xray遇到同一用户多次尝试登录时,Xray稳定地增加用户在尝试再次登录之前必须等待的时间间隔。在登录失败次数达到一定数量后,用户将被锁定其帐户。此时,登录只能由x射线管理员重置。管理员可以完全控制登录失败次数,从而锁定用户。
系统日志
x射线管理员现在可以查看x射线系统日志文件管理模块,能够过滤来自Xray背后不同服务的日志消息。
主要更新
- 修复了配置代理服务器时阻止x射线到达全局数据库服务器的错误。
- 同步全局数据库到x射线时的性能已经大大提高。无论是第一次同步还是定期更新,整个进程时间都大大缩短了。
- 添加了一种机制来防止Xray被暴力攻击锁定用户多次登录失败。
- 当升级存档在与以前版本相同的文件夹中提取时阻止升级的错误已被修复。
- 工件的影响路径现在显示为完整的路径,包括Artifactory实例和承载受影响工件的存储库。
- x射线日志现在可以由管理员在管理模块系统日志页面。
x光1.6.3
2017年3月7日发布
主要更新
- x射线的分析过程性能有了很大的提高
- 生成安全报告已经得到了很大的改进,特别是对于已经索引了数千个工件的Xray实例。
- 警报现在可以按严重性排序,当查看细节对于选定的警报,选项卡标题还显示其严重性。
- 中的某些受影响的工件被忽略的错误安全报告已经修复。
- 一种bug离线数据库同步由于没有找到组件而失败已被修复。
- 扫描过程的性能有了很大的提高
- 当查看组件的细节页面,它的子组件的漏洞和许可证也被显示。
x光1.6.4,
2017年3月14日发布
主要更新
- 导致代理服务器功能失败的问题已修复。
x光1.6.5
2017年3月22日发布
主要更新
- 提高索引和扫描过程的性能。
- 提高安全报告生成的性能。
1.5 x光
2017年1月4日发布
依赖图api
JFrog Xray将其依赖关系图公开给任何可以访问其REST api的外部源。通过一个简单的REST API调用,您现在就可以以JSON对象的形式接收任何组件或构建的完整依赖关系图,或者比较任何两个组件或构建的依赖关系图,以清楚地指示它们之间的差异,并轻松地了解可能引入问题和漏洞的新依赖关系。
编辑系统手表
当Artifactory中的存储库被配置为阻止下载时,将创建系统监视。为了提供更多的灵活性和更精细的控制警报何时应该生成,系统手表现在可以由Xray管理员用户编辑。
未知的许可证
处理具有未知许可的组件是您组织的策略问题。Xray现在允许您指定这些组件是否应该触发警报。
主要更新
- 依赖图api允许您获得任何的图工件或构建,并比较任意两个工件或构建.
- 系统表现在可以由Admin用户编辑。
- 允许和禁止的许可证过滤器现在允许您指定“Unknown”,这样您就可以决定具有未知许可的组件是否应该触发警报。
- 当索引Docker映像时,Xray现在也在映像操作系统层索引Debian和RPM包。
- 的新员工培训向导UI的可用性得到了改进,并允许对选定的存储库进行就地索引。
- 的安全报告显示得到了改进。
x光1.5.1
2017年1月9日发布
主要更新
- 修复了导致数据库连接泄漏的问题
- 固定处理的gzip文件无效的头
x光1.5.2
2017年1月10日发布
主要更新
- 修复了一个阻止微服务向系统日志写入条目的问题
1.4 x光
2016年12月20日发布
安全报告
JFrog Xray添加了一个新的报告,该报告向您显示代码中哪些漏洞具有最深远的影响,代码库中哪些组件具有最多报告的漏洞,以及最近检测到的漏洞和受感染的组件。
黑鸭集成
JFrog Xray已与Black Duck Software集成为新的外部漏洞提供商。Black Duck通过帮助您遵守开放源码许可要求并提供有关在开放源码组件中发现的漏洞的安全警报,使保护和管理开放源码软件的过程自动化。
主要更新
1.3 x光
2016年12月4日上映
提高新员工培训
登录体验在几个方面得到了改进,包括指导您完成配置Xray的第一个基本步骤的向导。
集成
集成UI已被修改,以更加灵活和有效地适应与外部问题和漏洞提供者的任意数量的集成。
工件和构建摘要REST API
工件和构建摘要REST API端点提供了关于工件或构建的一般信息,以及与它们相关的问题和OSS许可的聚合列表。
主要更新
1.2 x光
2016年11月6日上映
许可证的报告
生成一个报告,显示由Xray索引的工件所使用的开源许可的分布,以及它们对系统中所有表中定义的“允许的许可”和“禁止的许可”过滤器的遵从性。
系统状态
Xray现在监控各种系统参数,并报告其状态,让您轻松诊断问题。
问题过滤器
现在,您可以根据与索引工件相关的问题的最小严重程度在监视上创建过滤器。
主要更新
1.1 x光
2016年9月22日上映
支持旧版本的Artifactory
JFrog Xray现在支持所有版本的JFrog Artifactory从v4.0及以上
与全局数据库服务器同步
以前,Xray会在设定的时间间隔内自动与全局数据库服务器同步。为了更好地控制系统资源的使用,您现在可以手动调用初始同步并使用全局数据库服务器进行更新,并在必要时暂停2022世界杯阿根廷预选赛赛程/恢复同步。
支持非docker安装
除了Docker之外,JFrog Xray现在还可以安装在各种版本中,包括Ubuntu、CentOS、Red Hat和Debian。
支持下载阻止
JFrog Xray将注释在任何连接的JFrog Artifactory实例中被识别为问题的工件,以便Artifactory管理员可以阻止该工件的下载。
与Aqua集成
如果你有Aqua的帐户,这个集成可以让你使用你的Aqua API密钥启用他们的feed作为警报源。
OSS许可策略
现在,您可以通过定义基于OSS license白名单或黑名单的手表过滤器来实现OSS license策略。系统中任何没有通过您定义的过滤器的组件都将生成警报。
主要更新
- 支持旧版本的Artifactory - v4.0及以上版本
- 对资源的可见性和控制2022世界杯阿根廷预选赛赛程与全局数据库服务器同步
- 支持Linux安装
- 支持下载阻塞
- 支持手动调用和操作同步使用全局数据库服务器
- 集成阿卡
- OSS许可策略
- 通过an连接到ArtifactoryHTTP代理.
1.0 x光
2016年8月1日
JFrog为第一个正式发布的JFrog Xray 1.0感到自豪。根据几周前发布的“预览”版本的用户反馈,这个版本呈现了巨大的变化。
简单的新员工培训
开始使用Xray的整个入职过程在Xray内完成。这包括添加Artifactory实例、指定用于索引的存储库、触发索引和获取索引过程的状态。
统一的分析
手表和警报现在可以聚合所有类型的分析。您只需为a定义您感兴趣的上下文看(存储库、构建或所有工件),并查看有关检测到的问题和在结果警报中受影响的工件的聚合信息。
关注最相关的问题和警报
现在,您可以选择忽略已解决或您不感兴趣的警报或问题,无论是针对特定警报实例还是永久忽略。
集成
虽然JFrog Xray预先配置了一个问题数据库和受影响的软件构件,但它也可以与其他漏洞提供程序集成。这个版本可以添加Whitesource,这是一个简单但功能强大的开源安全和许可证管理解决方案。
手动调用扫描
一个新的看将只适用于新工件或创建后出现的问题。这个版本增加了手动运行分析和应用新分析的能力看关于现有的文物和问题。
主要更新
x光1.0.2
2016年8月11日
这是一个小更新,修复了索引的问题,并增加了对x射线消耗的存储的限制。
主要更新
- 修复了在某些情况下导致索引过程终止的问题。
- Xray现在限制了它在下载用于索引的工件时使用的存储空间。
x光预览
2016年7月3日
JFrog自豪地发布JFrog Xray!
JFrog Xray执行通用工件分析,递归地扫描二进制包的所有层,以提供彻底的透明度和对软件架构的无与伦比的洞察力。JFrog Xray适用于大多数包格式,并与JFrog Artifactory完全集成。
首页
主屏幕是您的仪表板,您可以在其中监控Artifactory实例x射线连接,组件图形和警报。
手表
监视是否存在问题的工件,如果发现问题就触发警报。一个扫描watch监视Artifactory中的指定构建或存储库,并在发现任何有问题的依赖项时触发警报。一个影响分析watch监听所有供应商向Xray传输的信息,并对其数据库中的所有组件执行影响分析,以发现报告的任何问题。
警报
警报提供有关在任何组件中发现的任何问题的详细信息,显示组件层次结构中的完整感染路径。
组件
查看存储库中的组件关系,以了解一个组件如何影响其他组件。
REST API
通过丰富的Xray REST API自动化组件分析。
修复了一个无法为复杂组件创建影响分析图的问题。