概述
JFrog Xray是一种通用的软件组合分析(SCA)解决方案,它与Artifactory本机集成,为开发人员和DevSecOps团队提供了一种简单的方法,在它们在生产版本中表现出来之前,主动识别开源漏洞和违反许可证的漏洞。
主要功能
早期检测
Xray早在依赖性声明阶段就能识别出安全漏洞和违反许可的行为,并从开发中阻止存在安全问题的构建。在从代码到产品的整个软件开发生命周期中,对软件工件和依赖项进行自动化和持续的治理和审计。
On-Prem、云、混合或多云解决方案
x射线可在prem(自我管理)和云上使用。Xray云托管在您选择的Amazon Web Services、谷歌云平台或Microsoft Azure上,允许您通过自动服务器备份、免费更新和保证正常运行时间来维护基础设施。
深度递归扫描
x射线递归地扫描工件、构建和发布包在您的系统中,深入分析影响您的软件的最小二进制组件。例如,当分析Docker映像时,如果Xray发现它包含Java应用程序,它也会分析所有的. jar
此应用程序中使用的文件。
连续的影响分析
Xray分析一个组件中的问题如何影响公司中的所有其他组件,并在组件图中显示影响链,使您能够清楚地了解一个组件对另一个组件的影响。它不断更新新的安全漏洞,执行影响分析以确定受问题影响的所有工件。
与Artifactory的本地集成
Xray是唯一与JFrog Artifactory本机集成的安全扫描工具。
作为一种互补产品JFrog Artifactory, Xray可以访问Artifactory存储的大量元数据,结合深度递归扫描,使Xray处于一个独特的位置,可以分析二进制工件之间的关系,并为组件架构提供彻底的透明度,以揭示一个组件中的漏洞对其他组件的影响。
漏洞数据库
Xray附带JFrog的漏洞数据库,我们不断向其中添加新的组件漏洞数据。还包括VulnDB,业界最全面的安全数据库,进一步扩展您可以扫描的漏洞范围。
自定义由api驱动的自动化
通过一个开放的REST API, Xray允许您为系统中的所有组件定义一个自定义的自动化分析方案。
依赖扫描
年代你的来源的依赖关系使用JFrog CLI来解决漏洞和违反许可证的问题。
随需应变的二进制扫描
指向一个二进制并接收一个报告,其中包含该二进制文件的漏洞列表和许可证,使用JFrog CLI。
普遍的人工制品分析
符合JFrog的普遍方法,JFrog Xray对CI/CD管道中的所有主要包格式执行工件分析。Xray了解每个包的类型,知道如何解包以及每个底层包含什么。
Xray目前支持以下包格式,并定期添加新格式。
去 |
x射线扫描和索引你的Go注册表,Go模块和Go包包括递归分析、组件图集成和提供详细的元数据信息。 |
PHP |
Xray递归地扫描注册表、Zip文件或Docker/容器中的PHP Composer包,无论它们是本地的还是远程的。Xray还检查PHP构建中的任何依赖项。 |
Maven |
使用x射线扫描Maven项目依赖项,并直接从IntelliJ IDE中查看漏洞JFrog IntelliJ Maven插件. |
鲍尔 |
Xray扫描Bower包并执行影响分析,以确保组织中的所有组件不受任何侵犯。 |
Gradle |
递归地扫描Gradle包的不同层及其依赖项,并使用Xray的组件图来显示任何检测到的问题对服务和应用程序的影响。 |
艾薇 |
Xray扫描Ivy包并执行影响分析,以确保组织中的所有组件不受任何侵犯。 |
SBT |
递归地扫描您的SBT包,并识别组织中受漏洞影响的所有组件,并监视组件以检测到新问题和漏洞。 |
npm |
Xray会识别你的npm包中的每个Javascript文件,并对每个文件进行匹配和分析,以确保你的npm应用程序可以安全使用。 |
NuGet |
Xray扫描NuGet包,递归地通过依赖层来发现任何深度的问题和漏洞。 |
PyPI |
Xray递归地打开Python包的不同层及其依赖项,发现可能影响组织的任何问题和漏洞。 |
码头工人 |
x射线可以识别Docker图像的每一层中包含的每个组件。这包括在基本映像层识别部署在操作系统上的包。 |
Debian |
Xray识别部署在您的Debian或Ubuntu操作系统上的运行在Docker容器的底层的Debian包。扫描每个组件的问题和漏洞,使您最大程度地了解您的软件依赖关系。 |
RPM |
Xray识别部署在RedHat或CentOS操作系统上的RPM包,这些RPM包运行在Docker容器的底层。扫描每个组件的问题和漏洞,使您最大程度地了解您的软件依赖关系。 |
RubyGems |
Xray为您的软件架构提供透明度,递归地通过所有依赖级别扫描RubyGems包,以发现问题和漏洞。 |
Alpine |
Xray现在扫描和索引您的高山资料库和高山软件包,包括递归分析、组件图集成和提供详细的元数据信息。 |
柯南 |
Xray现在扫描柯南包和柯南构建的问题和漏洞。x射线能识别出这些问题conanmanifest.txt 文件。有关更多信息,请参见柯南和C/ c++支持x射线. |
C / c++ |
Xray现在扫描C/ c++构建中的C/ c++依赖项,以识别这些构建中的漏洞。有关更多信息,请参见柯南和C/ c++支持x射线. |
谷歌Distroless图片 |
x射线现在可以扫描了谷歌Distroless图片只包含您的应用程序及其运行时依赖项。 |
1评论
Prasanna Raghavendra