x射线快速扫描指南
本指南将带您完成JFrog平台实例的配置,以开始尽可能快地显示JFrog Artifactory中工件的安全和许可信息。
在开始之前
安装和连接JFrog x射线到您的平台实例。
本指南也可在PDF版本.
1.选择要扫描漏洞和许可证的存储库
首先选择一个存储库。
导航到管理模块.点击x射线安全与合规菜单和索引资源2022世界杯阿根廷预选赛赛程菜单项。
通过单击,添加一个要索引到已索引资源的存储库2022世界杯阿根廷预选赛赛程添加存储库.
2.索引存储库
单击“Index Now”以索引此存储库中的现有工件。
如果不这样做,那么只有新添加的工件才会被索引。
3.查看扫描的工件
使用屏幕顶部的高级搜索栏来查找最近扫描的工件。
导航到应用程序模块。
选择安全与合规从搜索下拉菜单。
单击高级搜索图标。
将“按扫描日期”设置为今天。点击工件选项卡。这将显示正在被索引的工件。点击“Show in Tree”x射线图标来查看特定工件的x射线数据。
4.查看漏洞和许可证问题
去x光选项卡查看与此工件相关的漏洞和许可问题。
中可以看到标识的开源组件后裔选项卡,漏洞在安全标签和附加的许可证许可证选项卡。
接下来是什么
向索引中添加更多存储库。建议一次添加一个组,并在移动到下一个组之前等待它们被索引。
x射线最佳实践
本视频主要讲述成功的两个关键。2。从小事做起,循环工作。
1.包括研发
这意味着向左移动,使安全性和遵从性成为开发人员工作流程的一部分。以下是如何在JFrog平台中实现这一目标。
库结构
在SDLC中为每个团队和阶段创建Artifactory存储库(或存储库中的文件夹),使每个团队能够处理他们特定的安全性和遵从性违规。除了使用标准的中央远程存储库,如DockerHub。
表结构
管理SDLC中每个团队和阶段的违规行为,通过创建一个监视,实现了安全治理的独立责任。
下面的示例显示了一个包含的所有资源的表2022世界杯阿根廷预选赛赛程Team-1-Dev.
2.从小事做起,循环工作
从一个团队开始入职流程将使您能够了解什么是有效的,并将新流程应用到组织中的其他团队。
你的第一政策
定义一个策略,只针对“高”问题创建违规,而不执行任何操作,如构建失败、阻止下载和发送通知。
这将允许您对每个违规进行排序,并选择使用忽略规则修复或添加到允许列表。一旦清理了所有高严重程度的问题,就可以在检测到新的高严重违规时引入通知操作。
对于中等严重程度和低严重程度的问题,应该重复此过程。
这是一个没有任何操作的示例策略规则。
这是一个违规报告的例子Team-1-Dev,显示所有已确定的严重违规行为。
这是一个正在使用的易受攻击的Debian包的示例,它可以被替换和修复。
这是一个创建允许违规的忽略规则的示例。
这是一个带有自动阻止下载、阻止发布包和失败构建的策略规则的示例。
接下来是什么
继续到下一个团队,重新开始整个过程。一旦你有了两到三个初始团队,在这些初始团队的帮助下,与其他研发团队一起开始这个过程。
