资源扫描结果分析

---

资源扫描明细数据分析2022世界杯阿根廷预选赛赛程

每一个被扫描的资源——包、构建、工件和发2022世界杯阿根廷预选赛赛程布包包含以下一组Xray子选项卡和操作列表。

x射线数据子选项卡是:

• 违规行为:这些违反了在手表上定义的过滤器。它们只针对根组件报告，而不针对其依赖项报告。
• 安全:所选组件的已知安全漏洞。
• 许可:组件使用的OSS license。
• 死者们:所选组件包含(依赖于)的组件。
• 祖先:包含(依赖于)所选组件的组件。

下面的部分将以显示Packages资源为例描述Xray Data子选项卡。请注意，构建、工件和发布包的标签是相同的。

违反

根据用户设置的监视和相关策略显示在包版本上检测到的违规。您可以查看漏洞的严重程度、类型和关联的策略。要查看组件及其依赖项，请单击Component图标。在某些情况下，当检测到违规行为时，作为安全或法律人员，您可能希望接受或将其中一些违规行为添加到允许列表中。有关更多信息，请参见无视规则．

违反细节

漏洞细节

脆弱组件物理路径

安全

显示所选包版本的已知安全漏洞，以及不包含该漏洞的受影响版本和固定版本。

要检查违规的详细信息，单击列表中的违规信息以显示“问题详细信息”弹出框。

确定操作系统包的问题严重级别

Xray最初从JFrog管理的Xray全局数据库服务器中填充有关漏洞和许可证的数据。在初始数据库同步之后，Xray将与中央数据库持续同步，以便每天进行新的更新。

在分析开源操作系统包的漏洞时，Xray从两个来源获取有关漏洞严重性的数据:

• NVD:国家漏洞数据库，其中包含已知的每个漏洞及其CVSS评分。有关CVSS评分在x射线的更多信息，请参见CVSS评分x射线．
• 安全咨询:一些开源操作系统有自己的安全跟踪器，可以进一步分析操作系统包内的漏洞。

如果操作系统安全咨询包中包含关于漏洞的数据，Xray将基于此数据计算漏洞的严重性，而不是漏洞的CVSS评分。

原因是，操作系统的安全咨询团队已经做了进一步的分析，以得出更准确的结论，关于操作系统包内的漏洞的优先级/紧迫性/严重性。

为了帮助您理解Xray如何映射每个操作系统的信息，我们概述了每个操作系统的严重性/优先级，以及如何在Xray中显示它们。

请注意，如果安全咨询中不知道漏洞的严重性，CVSS评分将从NVD计算。

Ubuntu

漏洞来源: Ubuntu CVE Tracker

映射的严重性：优先级

优先级与x射线严重性映射：

优先级与x射线严重性映射CVSS v3

Debian

漏洞来源:Debian安全Bug追踪器

映射的严重性：紧迫感

严重程度的紧迫性映射：

RPM

漏洞来源:红帽安全建议和CVE数据库

映射的严重性：严重性评级

红帽严重性到严重性映射:

红帽严重性到严重性映射:CVSS v3

许可证

显示分配给特定版本和触发器的许可证如果它符合任何现有手表的标准，就会违反规定。单击License，查看组件附加的License。

后裔

显示所选组件包含(依赖)的组件。

的祖先

显示包含(依赖于)所选组件的组件。

---

x光的行为

扫描的侵犯

若要在包版本上启动手动扫描，请选择扫描侵犯从操作列表中。

指定自定义问题

用户创建的安全漏洞被标记为自定义问题，并可由具有管理Xray元数据权限的用户删除。

指定自定义许可

用户创建的license被标记为自定义license，可以被删除

从行动列表中,选择分配自定义License在您的版本的组件上分配自定义许可。

从预定义的license列表中选择license。

点击保存．触发手动扫描更新license列表。

x光出口数据

使用Actions菜单，您可以导出所选组件和版本的完整详细信息，包括违规、安全问题和许可证。从x光Data选项卡在包版本页面中,选择出口数据从行动列表。

在接下来的出口数据弹出，指定是否要导出违规，许可证或安全参数，应导出和导出格式。

文件被下载到您的本地驱动器。

下面是一些以不同格式导出文件的示例。

方法还可以自动导出组件详细信息出口组件细节REST API端点。

---