索引资源2022世界杯阿根廷预选赛赛程
为了避免冗长而密集的分析过程,Xray不会自动分析系统中的所有资源,而是允许您手动选择2022世界杯阿根廷预选赛赛程存储库、构建和发布包被索引。要配置已索引的资源,请参见2022世界杯阿根廷预选赛赛程索引x射线资源2022世界杯阿根廷预选赛赛程.
同步数据库
使用防火墙?
如果您使用的是防火墙,为了让数据库同步成功完成,您需要将以下url添加到防火墙的白名单中:
- https://releases.jfrog.io/
- https://releases-cdn.jfrog.io
- https://dl.bintray.com/
- https://akamai.bintray.com
- https://jxray.jfrog.io
要测试同步的能力,运行以下REST API端点:
https://jxray.jfrog.io/api/v1/system/ping
对于x射线扫描您的索引工件,它必须从t中摄取有关问题和漏洞的数据他的主要饲料来自全局数据库服务器JFrog维护.有两种方法可以同步x射线与全局数据库服务器:
在线:在联机模式下,Xray每天通过互联网连接自动与全球数据库服务器同步
离线:在离线模式下,您手动从全局数据库服务器下载文件,然后将它们上传到Xray
要配置与全局数据库服务器的同步,请在政府模块,选择Xray |数据库同步.
只有在初始DB同步过程完成后,才会启动x射线索引过程。
网络同步
要立即开始,以便Xray可以扫描您的工件,您可以通过选择手动调用初始同步开始同步在状态面板。从那时起,Xray将定期自动同步问题和漏洞,每天一次。
离线同步
对于RPM安装,更新文件夹位于数据文件夹:
- $ {XRAY_HOME} / x光/数据/更新/组件
- $ {XRAY_HOME} / x光/数据/更新/弱点
如果出于某种原因不希望维护到全局数据库服务器的实时internet连接,请选择离线在同步模式小组,以获得有关如何获得最新可用数据的详细说明。
与JFrog CLI的版本兼容性
离线数据库同步需要使用JFrog CLI.
配置人
配置watch时的一个选项是让它们调用webhook, webhook是你可以定义的专有url,可以在违规发布时执行自定义操作。
控件中可配置webhook政府模块下x射线|网钩.
如果需要添加网钩,单击新Webhook.
一般 |
|
Webhook名字 |
webhook的标识符。这个名称将被任何手表想要在违反的情况下调用webhook |
URL |
此webhook调用的URL。有关Xray提供给webhook的有效载荷的详细信息,请参阅webhook有效载荷。 |
描述 |
自由文本描述。 |
使用代理 |
设置webhook通过预定义的代理。有关更多信息,请参见管理代理. |
基本认证 |
|
用户名/密码 |
webhook要求的用户名和密码。 |
自定义标题 |
调用webhook时可能需要添加的任何自定义头。 |
添加自定义集成
x射线集成在政府模块中的集成页,并显示已配置并连接到的集成。
JIRA与Xray的集成
这个Jira集成允许您在配置的Jira项目中为Xray发现的违规行为自动创建Jira票据。有关更多信息,请参见Xray Jira集成.
脆弱性提要
JFrog Xray可以与任意数量的问题和漏洞提供程序集成。这使您有机会添加来自您可能拥有帐户的不同提供程序的分析,甚至创建您自己的提供程序并显示诸如性能问题、已知缺陷或提供程序提供的任何其他信息等信息。
要启用这一点,您需要构建以下两个REST端点,并在Xray集成页面中配置它们。
构建集成端点
为了启用自定义集成,您需要构建并运行两个REST端点。
1.检查身份验证
请求指示所提供的api密钥是否有效。这个API应该由提要提供者公开。
请求头
apiKey:“some-api-key-which-is-unique-for-a-specific-customer”
获得/ api / checkauth
{"valid": true, "error": ""}
{"valid": false, "error": "用户api密钥无效"}
2.请求组件信息
这个API将允许Xray从提要提供者请求关于一个或多个组件的信息,每个组件由唯一的组件id标识。该API将由提要提供者实现。
请求
请求有效负载将包含Xray想要获取信息的组件的唯一标识符。
此外,Xray将为请求提供上下文,这可以是项目id或其他标识符。如果第三方服务允许其用户为每个项目定义策略,这将允许在这些策略的上下文中响应请求。例如,如果第三方服务允许为每个项目创建OSS许可证遵从策略,那么如果所查询的组件违反了策略,Xray可能会得到一个带有许可证漏洞的响应。
POST / api / componentinfo
apiKey:“some-api-key-which-is-unique-for-a-specific-customer”
{"components": [{"component_id": "gav://ant:ant:1.6.5", "blobs": ["97282a3b066de4ee4c9409979737f3911f95ceab"]}], "context": "project_id"}
响应
{"components": [{"component_id": "gav://ant:ant:1.6.5", "licenses": ["Apache 2.0"], "provider": " feed provider", "vulnerabilities": [{"cve": "cve -2012-2098", "type": "security", "source_id": "报告问题的唯一id", "summary": "算法复杂度漏洞","description": " bzip2压缩流中排序算法中的算法复杂度漏洞","cvss_v2": "7.9", "url": "http://more.info", "publish_date":"2015-11-03T07:30:51.991+00:00", "参考资料":["http://archives.neohapsis.com/archives/bugtraq/2012-05/0130.html"]}]}]}
配置集成端点
要配置端点,请转到政府模块中的x射线|集成页面并点击新的集成.
要添加和连接到自定义提供程序,请设置启用复选框,并输入以下参数:
- 的集成供应商名字
- 一个描述对于卖方
- 的API密匙您从提供商处收到的
- 的URLXray用来检查它正在扫描的组件是否已在提供商处注册。
URL应该指向请求组件信息REST端点 - 的测试网址您可以使用"测试”按钮。
测试URL应该指向检查身份验证REST端点 - 的图标的URL您可以选择为供应商显示
创建监视和策略
策略和监视允许您执行组织治理标准:
- 建立你的政策和规则反映组织的标准治理行为规范。Xray支持安全性和遵从性策略类型。
- 创建表定义运行相关策略的资源范围。2022世界杯阿根廷预选赛赛程监视资源,如存储库、构建和2022世界杯阿根廷预选赛赛程发布包,并在这些资源上执行分配给它们的策略。2022世界杯阿根廷预选赛赛程
- 检查违规行为一旦检测到漏洞或许可证违反符合策略规则的标准,由Xray创建。
- 如果检测到违规,将运行您在策略中设置的操作,例如阻止下载、构建失败或阻止发布包的分发。
高级设置
高级设置仅适用于自托管环境。
Xray建立在一组微服务之上,这些微服务在索引工件、与Artifactory通信、管理事件和通知等领域执行其操作。
要配置这些设置,请在政府模块,转到x射线安全与合规|高级并点击设置.
高级配置包括:
- 基本设置:允许启用x射线,配置行为时,它是不可用的和阻塞的工件。
- 系统参数:(仅自托管)提供系统设置。
- 队列工作者:(仅自托管)提供了几个参数,通过更改执行不同任务的工作者的数量来调整x射线性能。从Artifactory版本7.12及更高版本开始,Queue Workers设置不再通过UI可用,只能通过UI支持REST API。
请注意:调整这些参数可能会影响系统性能,请联系JFrog支持获取更多信息。
基本设置 |
|
x光启用 |
表示在JFrog平台上启用Xray,安装Xray时默认设置。 |
允许下载和分发时,x射线是不可用的 |
允许从Artifactory下载工件,并在x射线服务不可用时将发布包分发到边缘节点。 |
允许下载被阻止的工件 |
允许下载所有工件,包括被x射线阻止下载的工件。 |
阻止未扫描工件下载超时(秒) |
下载请求等待x射线完成工件扫描的最长时间。 当将存储库配置为阻止未扫描工件的下载时,此设置将使每个下载请求连接在配置的时间内保持打开状态(以秒为单位),从而允许Xray有足够的时间扫描工件,然后返回工件或根据扫描结果阻止它。 重要的确保用于从Artifactory下载工件的客户端设置为高 这在使用智能远程存储库,在那里Socket Timeout (MS)应设置为高值。 高级用户: Artifactory发送扫描请求到Xray的时间间隔可以使用以下方式配置系统属性.
这个系统属性决定了每个工件的事件从Artifactory提交到Xray之间的间隔。当下载一个新添加的工件时,在Artifactory中创建一个事件,并且该事件被发送到Xray,通知它需要扫描一个新的工件。为了使块未扫描超时有足够的时间获得完整的扫描结果,需要快速通知Xray需要进行新的扫描,因此需要将此系统属性更改为10秒。 注意,增加/调优Tomcat HTTP连接池可能需要在等待扫描完成时支持高负载的连接。 |
| 系统参数 | |
SSL不安全 |
切换启用跳过Xray的自签名证书验证 |
没有SSL的邮件 |
在连接到邮件服务器时切换使用传输层安全性 |
发送匿名统计信息 |
通过发送匿名使用统计数据来改进x射线优化。 |
最大磁盘使用率 |
x射线允许的磁盘使用百分比。当达到指定值时,Xray将不会下载用于索引的软件包 |
监控采样间隔 |
CPU、磁盘使用率、重启等监控任务的执行时间间隔。 |
工作时间间隔 |
运行节点特定作业的间隔时间 |
队列参数 |
|
指数 |
管理工件索引的工作人员的数量。 |
坚持 |
管理构建工件关系图所需的持久存储的工作人员的数量。 |
警报 |
管理警报的工作人员的数量。 |
分析 |
参与的工人人数扫描分析. |
影响分析 |
涉及的工人数量在影响分析来确定具有报告问题的组件如何影响系统中的其他组件。 |
通知 |
管理通知的工作人员的数量。 |
系统参数 |
|
SSL不安全 |
切换启用跳过Xray的自签名证书验证 |
没有SSL的邮件 |
在连接到邮件服务器时切换使用传输层安全性 |
最大磁盘使用率 |
x射线允许的磁盘使用百分比。当达到指定值时,Xray将不会下载用于索引的软件包 |
监控采样间隔 |
CPU、磁盘使用率、重启等监控任务的执行时间间隔。 |
队列消息最大TTL |
消息队列系统中要接受的重试次数 |
工作时间间隔 |
运行节点特定作业的间隔时间 |
从Xray 3.6版本开始,Xray优先扫描新的工件/构建/发布包,而不是来自历史扫描或完整存储库扫描的事件。并提供了控制新内容与历史/完整存储库扫描的工作人员数量的功能。要配置worker的数量,请参见配置工作者计数REST API。
这需要Artifactory版本7.6及以上。
垃圾收集器(GC)
从Xray 3.26.1开始,Xray的垃圾收集器(GC)功能使您能够避免Artifactory发送的删除/创建事件之间的竞争条件,主要是在移动工件和提升图像时。此特性默认情况下是活动的,并且可以在x射线系统deleteMode (gc”/“渴望”)参数。
您可以通过一组REST api来管理垃圾收集器,例如获取GC状态或强制运行GC。有关更多信息,请参见垃圾收集器(GC) REST api.
