x射线如何确定操作风险的严重性?
Xray使用以下标准计算操作风险为高、中、低和无(无已知风险):
风险 | 类型 | 严重程度 | 笔记 |
---|---|---|---|
临终 |
布尔 |
高=真 None = False |
|
版本的年龄 |
数量 |
发行后的月数/ 10 高>= 4 中> 2和< 4 Low > 1和<= 2 无(无风险)<=1 |
|
新版本数量 |
数量 |
/ 2以来的版本数 高>= 6 中>= 4且< 6 低>= 2且< 4 无(无风险)< 2 |
|
开源项目的健康状况 |
|||
每年的发布节奏 |
健康>= 2次释放 不健康<= 1 |
这包括所有版本。包括任何点发行版和补丁发行版(如果它们是GA发行版)。 如果没有数据,则假定它是正常的 |
|
每年提交的数量 |
正常>= 100次提交 不健康< 100次提交 |
||
每年提交人数 |
健康> = 5个提交者 不健康< 5℃的排放者 |
计算操作风险有效严重性
# |
终点 |
健康 |
新版本# |
版本的年龄 |
结合程度 |
风险的原因 |
---|---|---|---|---|---|---|
1 |
高 |
任何 |
任何 |
任何 |
高 |
终点 |
2 |
没有一个 |
高的风险 |
任何 |
任何 |
高 |
健康 |
3. |
没有一个 |
没有风险 |
高 |
无、低、中、高 |
高 |
新版本和数量版本年龄(仅当高时) |
4 |
没有一个 |
没有风险 |
媒介 |
无、低、中 |
媒介 |
新版本和数量版本年龄(仅适用于中) |
5 |
没有一个 |
没有风险 |
低 |
没有,低 |
低 |
新版本和数量版本年龄(仅当低时) |
6 |
没有一个 |
没有风险 |
没有一个 |
没有一个 |
没有一个 |
没有给出原因 |
7 |
没有一个 |
没有风险 |
无、低、中、高 |
高 |
高 |
版本年龄和新版本数(仅当高时) |
8 |
没有一个 |
没有风险 |
无、低、中 |
媒介 |
媒介 |
版本新版本的年龄和数量(仅适用于中版本) |
9 |
没有一个 |
没有风险 |
没有,低 |
低 |
低 |
版本年龄和新版本数量(仅当低时) |
工作流
操作步骤步骤1创建操作风险策略
添加了一个额外的策略类型来支持操作风险规则。规则是基于x射线确定的风险类型。违例是根据您选择的规则条件生成的。有关x射线策略的更多信息,请参见创建x射线策略和规则.
步骤2为“手表”添加策略
将操作风险政策附加到一个或多个手表上,以便将其应用于您的资源。2022世界杯阿根廷预选赛赛程有关x射线手表的更多信息,请参见配置x射线手表.
步骤3查看操作风险数据
在Artifactory中的x射线数据选项卡中查看组件的操作风险数据。
4 .查看违规
查看基于您设置的策略规则生成的操作风险违规。
请注意,Xray不执行操作风险更新的影响分析。的操作风险选项卡将始终更新。违规数据更新到最新扫描(或最新包下载)。
创建操作风险策略
操作风险策略类型包括基于Xray确定的风险标准的规则。创建策略,请执行以下操作:
- 在政府模块,选择手表与政策从政策选项卡单击新政策.
- 选择策略类型为操作风险,并单击新规则.
- 选择规则条件。你可以做以下其中一种:
- 按最低风险等级;低,中,高。
- 根据具体数值下的子准则自定义条件.自定义条件基于可用的x射线操作风险数据。条件之间的关系是Or/And。
有关创建策略的详细信息,请参见创建x射线策略和规则.创建策略后,可以继续将其附加到手表,如中所述配置x射线手表.
查看操作风险数据
Artifactory中的x射线数据选项卡现在包含了一个额外的操作风险数据选项卡。列出了每个组件以及每个组件的操作风险信息。要访问此数据,请参见资源扫描结果分析.
操作风险违规
一种新的违规类型,操作风险,现在在x射线数据下的违规选项卡下列出。违规是根据策略中设置的规则生成的。违规包括操作风险组件数据。
选择违规项后,会显示“操作风险”数据。
忽略操作风险违规
您可以创建“忽略规则”来忽略操作风险违规。要创建忽略规则,单击忽略违规图标。有关忽略规则的详细信息,请参见无视规则.
离线模式下升级带有操作风险特性支持的x射线
离线工作时,需要手动同步数据库,下载组件数据并启用“操作风险检测”。
做以下几点:
- 在政府模块,转到x射线安全性和合规性并选择数据库同步。
- 选择离线同步模式,单击生成下载命令。
生成的命令如下所示:
jfrog xr offline-update——license-id=
——version= - 如果命令包含从而且来参数,删除它们,使命令看起来像上面的示例。
- 拷贝命令并在CLI中运行。
- 命令行将下载2个文件:comp_0.zip和vuln_0.zip
- 例如,解压缩组件文件,comp_{号码}. zip.它包含额外的zip文件,如:
- 2022 - 03 - 22 - __onboardingf__comp2801_2803__.zip
将解压的组件压缩文件放在Xray服务器的以下文件夹下。
$ {XRAY_HOME} / var /工作/服务器/更新/ data_migration / public_comps_operational_risk_files /
触发组件操作风险持久性迁移:
[post]
/api/v1/migration/trigger/public_comps_operational_risk Content-Type:application/json 使用迁移值REST API来监视操作风险迁移过程。有关运行x射线命令的详细信息,请参见Xray REST API.
迁移完成后,迁移状态将设置为完成了.如果出现任何其他包含故障信息的状态,请检查日志并联系JFrog的客户支持。[有]< XRAY_URL > / api / v1 /迁移/数据/价值?关键= public_comps_operational_risk
样品反应:
{"key": "public_comps_operational_risk", "value": "finished"}
REST API支持
以下REST api已更新以支持操作风险特性: