云客户?
免费开始>
在MyJFrog >中升级
云有什么新>





概述

JFrog Xray的操作风险特性为您提供了OSS组件的额外数据,这将帮助您深入了解正在使用的组件的风险级别。

什么是组件操作风险?

组件操作风险是指在项目中使用过时或不活跃的开源软件组件的风险。

这个特性如何帮助识别风险?

这个特性可以帮助您识别使用过时的开源软件组件时项目可能存在的操作风险。它还可以作为开源项目活动缓慢或可能没有积极维护的项目的早期指示器。

它是如何工作的?

JFrog x射线跟踪以下操作风险数据对于给定的开源组件:

  • 临终(EOL):确定正在使用的OSS组件是否已过时或已被作者声明为生命终止。
  • 版本年龄:OSS组件的使用年限以月为单位。
  • 新版本数量:当前版本之后发布的新版本数量。例如,如果您使用的是2.3.4版本,并且有三个新版本2.3.5、2.4.1和2.4.2,则值将为3。
  • OSS项目的运行状况:一个布尔值,显示OSS项目是否正常。这是使用以下参数计算的:
    • 每年的发布节奏:GA发布的数量,包括补丁、点发布等等。
    • 每年提交数:过去12个月的提交总数。
    • 每年提交人数:过去12个月提交人数的总和。


关于操作风险的重要注意事项

  • 该特性需要Artifactory 7.37版本。X及以上。
  • 该特性需要JFrog CLI 2.15版本。X及以上。
  • 这个特性只支持npm和Maven包。
页面内容

x射线如何确定操作风险的严重性?

Xray使用以下标准计算操作风险为高、中、低和无(无已知风险):

风险 类型 严重程度 笔记

临终

布尔

高=真

None = False


版本的年龄

数量

发行后的月数/ 10

高>= 4

中> 2和< 4

Low > 1和<= 2

无(无风险)<=1


新版本数量

数量

/ 2以来的版本数

高>= 6

中>= 4且< 6

低>= 2且< 4

无(无风险)< 2


开源项目的健康状况





每年的发布节奏

健康>= 2次释放

不健康<= 1

这包括所有版本。包括任何点发行版和补丁发行版(如果它们是GA发行版)。

如果没有数据,则假定它是正常的


每年提交的数量

正常>= 100次提交

不健康< 100次提交



每年提交人数

健康> = 5个提交者

不健康< 5℃的排放者



计算操作风险有效严重性

终点

健康

新版本#

版本的年龄

结合程度

风险的原因

1

任何

任何

任何

终点

2

没有一个

高的风险

任何

任何

健康

3.

没有一个

没有风险

无、低、中、高

新版本和数量版本年龄(仅当高时)

4

没有一个

没有风险

媒介

无、低、中

媒介

新版本和数量版本年龄(仅适用于中)

5

没有一个

没有风险

没有,低

新版本和数量版本年龄(仅当低时)

6

没有一个

没有风险

没有一个

没有一个

没有一个

没有给出原因

7

没有一个

没有风险

无、低、中、高

版本年龄和新版本数(仅当高时)

8

没有一个

没有风险

无、低、中

媒介

媒介

版本新版本的年龄和数量(仅适用于中版本)

9

没有一个

没有风险

没有,低

版本年龄和新版本数量(仅当低时)


工作流

操作步骤步骤1创建操作风险策略

添加了一个额外的策略类型来支持操作风险规则。规则是基于x射线确定的风险类型。违例是根据您选择的规则条件生成的。有关x射线策略的更多信息,请参见创建x射线策略和规则

步骤2为“手表”添加策略

将操作风险政策附加到一个或多个手表上,以便将其应用于您的资源。2022世界杯阿根廷预选赛赛程有关x射线手表的更多信息,请参见配置x射线手表

步骤3查看操作风险数据

在Artifactory中的x射线数据选项卡中查看组件的操作风险数据。

4 .查看违规

查看基于您设置的策略规则生成的操作风险违规。

请注意,Xray不执行操作风险更新的影响分析。的操作风险选项卡将始终更新。违规数据更新到最新扫描(或最新包下载)。



创建操作风险策略

操作风险策略类型包括基于Xray确定的风险标准的规则。创建策略,请执行以下操作:

  1. 政府模块,选择手表与政策政策选项卡单击新政策
  2. 选择策略类型为操作风险,并单击新规则
  3. 选择规则条件。你可以做以下其中一种:
    1. 按最低风险等级;低,中,高。
    2. 根据具体数值下的子准则自定义条件.自定义条件基于可用的x射线操作风险数据。条件之间的关系是Or/And。



有关创建策略的详细信息,请参见创建x射线策略和规则.创建策略后,可以继续将其附加到手表,如中所述配置x射线手表


查看操作风险数据

Artifactory中的x射线数据选项卡现在包含了一个额外的操作风险数据选项卡。列出了每个组件以及每个组件的操作风险信息。要访问此数据,请参见资源扫描结果分析


操作风险违规

一种新的违规类型,操作风险,现在在x射线数据下的违规选项卡下列出。违规是根据策略中设置的规则生成的。违规包括操作风险组件数据。

选择违规项后,会显示“操作风险”数据。

忽略操作风险违规

您可以创建“忽略规则”来忽略操作风险违规。要创建忽略规则,单击忽略违规图标。有关忽略规则的详细信息,请参见无视规则


离线模式下升级带有操作风险特性支持的x射线

离线工作时,需要手动同步数据库,下载组件数据并启用“操作风险检测”。

做以下几点:

  1. 政府模块,转到x射线安全性和合规性并选择数据库同步。
  2. 选择离线同步模式,单击生成下载命令。
  3. 生成的命令如下所示:

    jfrog xr offline-update——license-id=——version=
  4. 如果命令包含而且参数,删除它们,使命令看起来像上面的示例。
  5. 拷贝命令并在CLI中运行。
  6. 命令行将下载2个文件:comp_0.zip和vuln_0.zip
  7. 例如,解压缩组件文件,comp_{号码}. zip.它包含额外的zip文件,如:
    1. 2022 - 03 - 22 - __onboardingf__comp2801_2803__.zip
  8. 将解压的组件压缩文件放在Xray服务器的以下文件夹下。

    $ {XRAY_HOME} / var /工作/服务器/更新/ data_migration / public_comps_operational_risk_files /


  9. 触发组件操作风险持久性迁移:

    [post] /api/v1/migration/trigger/public_comps_operational_risk Content-Type:application/json
  10. 使用迁移值REST API来监视操作风险迁移过程。有关运行x射线命令的详细信息,请参见Xray REST API
    迁移完成后,迁移状态将设置为完成了.如果出现任何其他包含故障信息的状态,请检查日志并联系JFrog的客户支持。

    [有]< XRAY_URL > / api / v1 /迁移/数据/价值?关键= public_comps_operational_risk

    样品反应:

    {"key": "public_comps_operational_risk", "value": "finished"}

REST API支持

以下REST api已更新以支持操作风险特性:

  • 没有标签
版权所有©2022 JFrog Ltd.