使用最新的JFrog产品?hth华体会最新官方网站
JFrog平台用户指南


跳到元数据的末尾
转到元数据的开始

概述

监视定义了要监视的资源的范围。2022世界杯阿根廷预选赛赛程它们监视资源,例如存储库和2022世界杯阿根廷预选赛赛程构建,并通过生成违例来在它们包含的工件上执行分配给它们的策略。

政策使您能够创建一组规则,其中每个规则定义一个许可证/安全标准,并根据您的需要创建相应的一组自动操作。

将你想要执行的行为从你想要执行它的上下文中分离出来,可以提供以下值:

  • 效率.通过一次配置策略并将其分配给多个手表,可以减少工作并节省时间。
  • 灵活性.配置具有附加功能的多个行为,例如安全规则的优先级。
  • 单独的问题.将权限委托给组织中的不同团队。与资源和过滤器相关的所有内容都在监视中,与安2022世界杯阿根廷预选赛赛程全性和许可证遵从性相关的所有内容都在策略中。

页面内容

升级到2.4版本和多个资源2022世界杯阿根廷预选赛赛程

从2.4版本开始,Watch可以在多个资源(构建和存储库)上定义。2022世界杯阿根廷预选赛赛程当从低于2.4的版本升级到2.4或更高版本时,所有具有指定目标的现有watch都将迁移到包含原始watch目标作为其唯一资源的新watch。请注意,可以编辑这些内容以添加更多资源。2022世界杯阿根廷预选赛赛程

在“每个工件”中指定的所有现有的手表将被迁移到相应的指定的新手表所有存储库和所有构建作为他们的资源。2022世界杯阿根廷预选赛赛程

手表是如何工作的?

当扫描工件时,Xray为添加到Watch中的每个资源完成以下步骤:

  1. 检查存在:x光检查工件是否存在于资源中
  2. 检查过滤器然后用x光检查工件匹配为该资源定义的所有过滤器。
  3. 进程分配策略Xray独立处理Watch中的所有策略。对于每个分配的策略,Xray执行以下步骤:
    1. 处理规则根据优先级。
    2. 检查标准规则的。
    3. 如果满足条件,Xray生成a违反,自动操作被执行,该政策被认为是加工过的.没有必要继续执行该政策的后续规则。
    4. 如果不符合标准,则继续进行x光检查下一个规则
    5. 如果上述规则均不适用,则该策略被视为不适用加工过的,如果存在,则x射线继续执行下一个策略。

手表


创建手表

要创建一个新表,请单击new watch。

手表的创建分为三个基本步骤:

  1. 提供一般信息
  2. 指定的资源2022世界杯阿根廷预选赛赛程
  3. 指定的政策

一般信息

名字
表的唯一逻辑名称。
描述

手表的一般描述。

启用

选中后,表示启用该手表。

看收件人
选中后,如果检测到漏洞,所有Watch收件人都将收到电子邮件通知。

2022世界杯阿根廷预选赛赛程

这些资源2022世界杯阿根廷预选赛赛程是存储库的集合,是Watch监视的连接的Artifactory服务中的构建。单击,为监视指定资源2022世界杯阿根廷预选赛赛程管理资源。2022世界杯阿根廷预选赛赛程

管理资源2022世界杯阿根廷预选赛赛程

管理Watch的资2022世界杯阿根廷预选赛赛程源包括两个步骤:

  1. 指定要监视的存储库和构建
  2. 应用过滤器只关注您感兴趣的存储库和构建中的构件。

指定的资源2022世界杯阿根廷预选赛赛程

通过拖动或选择您感2022世界杯阿根廷预选赛赛程兴趣的资源并使用箭头图标,将您感兴趣的资源从左侧的“可用资源”列表移动到右侧的“已选资源”列表中。

权限申请

你只能看到资源在一个手表,如果他们2022世界杯阿根廷预选赛赛程被索引扫描的x射线,你有“查看”权限的资源。

你只能添加资源到一个手表或删除他们2022世界杯阿根廷预选赛赛程,如果他们被索引扫描的x射线,你有“管理”权限对资源。

指定所有存储库和构建

设置“所有存储库”或“所有构建”复选框意味着Watch监视所有构建以及由Xray指定用于索引的所有存储库。注意,此设置也将应用于定义Watch后创建的新存储库和构建。

只有在定义了为您提供全局范围访问权限的权限时(即所有的资2022世界杯阿根廷预选赛赛程源对所有资源的权限。2022世界杯阿根廷预选赛赛程

扫描外部资源2022世界杯阿根廷预选赛赛程

从2.6版本开始,当扫描构建以查找受支持的包格式时,构建中不直接包含的外部(可传递的)依赖项是扫描,并将触发违规,如果符合标准指定的手表。目前,支持的包格式有:MavenNuGetnpmGradle并扫描外部资源2022世界杯阿根廷预选赛赛程sha - 256。

过滤器

您为监视定义的过滤器确定指定的资源中的哪些工件将在什么条件下生成违规。2022世界杯阿根廷预选赛赛程您可以在为监视指定的每个资源上定义任意数量的过滤器,并且只有当工件满足为该资源定义的所有过滤器的条件时,2022世界杯阿根廷预选赛赛程它才会触发对任何资源的违反。以下内容过滤器可用:

  • Name:根据工件的名称生成一个冲突
  • 路径:根据存储库中工件的路径生成一个冲突
  • 包类型:基于工件的包类型生成一个冲突
  • Mime类型:基于工件的MIME类型生成一个冲突
  • 财产:如果工件带有指定属性的注释,则生成冲突

要指定过滤器,请选择filters选项卡。

管理资源-过滤2022世界杯阿根廷预选赛赛程器

对于已添加到Watch的每个资源,现在可以指定应用于该资源的过滤器。

Xray将显示过滤器,供您指定触发违规的参数。

通过所有过滤器

您可以为资源定义任意数量的过滤器,并且只有通过所有过滤器的工件才会触发违规。

名字

一个名字Filter使用正则表达式来指定工件的名称。只有当工件的名称与表达式匹配时,手表才会触发违规。

例如,上面的过滤器指定手表应该只对rpm文件触发违规。

路径

一个路径Filter使用正则表达式来指定存储库中工件的路径。只有当工件的名称与表达式匹配时,手表才会触发违规。注意,过滤器不认为存储库名称是路径的一部分。

例如,上面的过滤器指定手表应该只对路径中包含表达式“jfrog”的工件触发违规

包类型

Package Type过滤器指定工件的包类型。只有当工件具有指定的包类型时,监视才会触发冲突。


Mime类型

Mime类型过滤器指定工件的Mime类型。只有当工件具有指定的mime类型时,监视才会触发违规。


例如,上面的过滤器指定手表应该为任何带有“application/json”mime类型的工件触发违规。

财产

属性筛选器指定注释工件及其值的属性。只有当属性具有指定的值时,手表才会触发违规。


例如,上面的过滤器指定,如果一个带有属性“performance”的工件的值为“false”,则手表应该触发一个违规。

分配政策

要将策略分配给监视,请单击assign Policies。

分配政策

从左侧的Available Policies列表中,选择要应用到Watch的策略并将其拖动,或者使用箭头将其移动到右侧的Selected Policies列表中。

点击分配将策略分配给Watch。

编辑策略

对策略所做的编辑将自动应用于该策略分配给的所有监视。这将只对新扫描的工件起作用。你可以手动操作对现有工件应用监视


编辑手表

要编辑手表,请从手表列表中选择它,然后转到设置选项卡。

Settings选项卡


检查手表

违反

单击主watch模块页面上的特定手表,以检查其定义的所有违规行为。您可以使用搜索机制根据文本、创建日期、类型、严重程度和CVE ID过滤手表违规行为。

看违反

要检查违规的详细信息,请从列表中单击该违规,以显示违规详细信息弹出框。


违反细节

无视手表上的违规行为

在Xray 2.11中引入增强的忽略规则功能

从Xray 2.11开始,忽略违规功能得到了增强,允许用户查看并执行带有忽略规则标记的违规操作。

用户可以选择忽略在手表上检测到的低优先级违规,或者需要将违规列入白名单或在未来版本中处理。

忽略违规时支持以下过程:

忽视违规行为

  1. 选择所需的Watch,然后单击违反选项卡。
    忽视违反
  2. 在“监视”上的“违规”列表中,将鼠标悬停在列表中所需的违规上,然后单击忽视违反位于线的最右边的。
    忽视违反对话框打开。
    忽略违规弹出窗口
  3. 选择以下方法之一忽略违规:
    • 忽略:该违规将被标记为“被忽略的违规”,但是它将在下次扫描该违规工件时重新出现在列表中。
    • 忽略永久:该违规将被标记为“忽略违规”,并将创建一个忽略规则,并将应用于未来的扫描。

      忽略组件详细信息中的规则

      的“违规”选项卡中指定要忽略的违规组件的细节页面。

      控件中被忽略的规则无视规则选项卡。


      如果要查看被忽略规则的安全或license详细信息,请在“摘要”列中选择“忽略”规则。

在手表上搜索被忽视的违规行为

要查看忽略的违规列表,请从违反选项卡上的忽略了侵犯状态,单击搜索

修复手表上被忽略的违规行为

  1. 在“违例信息”页面,选择违例信息,单击恢复违反
  2. 点击恢复违反

  3. 点击确认。该违规将被添加到活动违规列表中。

删除忽略规则

您可以删除“忽略”规则,并选择“”恢复以前的违规行为复选框,以恢复先前标记有此忽略规则的违规。

  1. 从忽略规则选项卡中,选择忽略规则并选择删除图标。
  2. 点击删除

在Watch上获取一份忽视违规行为的列表

要检索监视中被忽略的违规列表,请运行以下命令忽视违规行为命令。


应用于现有内容

一次,当扫描触发事件发生时,它将扫描指定资源中的工件,并相应地发出违规。2022世界杯阿根廷预选赛赛程然而,在扫描触发事件发生之前,系统中已经存在的工件将不会被Watch扫描。因此,为了确保Watch立即应用于相关的工件,您可以通过将鼠标悬停在上面并选择来手动调用它适用于现有内容

不适用于所有存储库或所有构建

如果监视是在特定资源上定义的,而不是在所有存储库或所有构建上定义的,则只能手动调用对现有内容的监视2022世界杯阿根廷预选赛赛程


适用于现有内容

单击按钮会弹出一个对话框,该对话框允许您指定应该扫描分配给监视的哪些资源,以及一个日期范围,该日期范围定义了工件需要在目标中驻留的时间量,以便进2022世界杯阿根廷预选赛赛程行扫描。

例如,选择“最近7天”将只扫描过去7天驻留在目标中的工件。


适用于现有内容的详细信息



  • 没有标签