它是如何工作的?
先决条件
作为一个Jira管理员,你必须有以下信息:
- 支持的身份验证类型应该是OAuth1、OAuth2或基本身份验证之一。
- 用户凭据取决于身份验证类型。
- Jira项目名称。
- 问题类型(bug、安全性、升级等)。
- Jira标签(可选)。
- 自定义字段映射(可选)。
步骤1创建Jira Connection Profile
使用一种受支持的身份验证方法,通过Xray接口将Jira连接到Xray。导航到管理> x射线安全与合规>集成> Jira集成并选择新Jira集成。Xray支持三种认证方式:
- OAuth1
- OAuth2
- 基本认证
x射线自托管 | x光云 | |
---|---|---|
Jira On-Prem |
|
请注意:不推荐这种配置,因为它需要允许入站连接到本地Jira实例。 |
Jira云 |
|
|
使用OAuth1连接Jira到x射线
在x光:
在Xray Jira Integration中定义以下字段:
场
描述
消费者的关键
Jira在链接应用程序时提供的消费者密钥。
Jira服务器URL
Jira部署的URL。
生成一个将在Jira中定义的公钥。
在Jira:
粘贴您从x射线界面复制的生成的公钥。
使用OAuth2连接Jira到x射线
在Atlassian:
所需的范围权限
读:问题类型:jiraRead:问题类型。属性:jiraRead:项目:jira写道:项目。property:jira Read:user:jira Read:application-role:jira Read:avatar:jira Read:group:jira Read:issue-type-hierarchy:jira Read:project-category:jira Read:project.component:jira Read:field:jira Read:field-configuration:jira Read:issue-meta:jira Write:issue:jira Write:comment:jira Write:comment。property:jira Write:attachment:jira Read:issue:jira Read:label:jira
从Atlassian的开发人员控制台,创建一个OAUTH2集成。指定回调URL作为JFrog服务器URL,例如:
https://artifactory:8082/xray/api/v1/ticketing/integrations/callback
在身份验证详细信息部分,复制客户端ID和秘密。您将在x射线界面中使用这些。
在x光:
在Xray Jira Integration中定义以下字段:
场 |
描述 |
---|---|
客户机ID |
从Atlassian OAUTH2集成中获得的客户端ID。 |
客户的秘密 |
从Atlassian OAUTH2集成中获得的客户端秘密。 |
使用基本身份验证将Jira连接到Xray
在Xray Jira Integration中定义以下字段:
场 |
描述 |
---|---|
用户名 |
用于Jira身份验证的用户名。 |
密码 |
用于Jira身份验证的密码。 |
安装类型 |
Jira实例的安装类型,云或On-Prem |
Jira服务器URL |
Jira部署的URL。 |
确保测试Xray和Jira之间的连接单击测试Jira连通性按钮,然后进行下一步。
步骤2创建Jira配置文件
Jira与Xray连接成功后,需要创建Jira Configuration配置文件。由于不同的团队有不同的Jira项目,配置概要文件使您能够为每个Jira项目所发行的Jira票据定义特定的标准,例如在Jira项目中定义的标签和自定义映射。
笔记
注意事项:
- 在配置文件中配置标签之前,应该在Jira中创建标签。
- 如果问题类型在Jira中有强制字段,这些问题类型将不会出现在问题类型列表中以供选择。以下字段为例外:
- 总结
- 描述
- 项目
- issuetype
- 标签
- 记者
由于每个违规都会创建一个新的Jira罚单,您可能会在不同版本的Build、Release Bundle或包中对相同的违规有多个Jira罚单。你可以选择只有一个违规的Jira票,消除重复的Jira票。如果不勾选,将在所有构建、发布包和包中为相同的违规创建多个Jira罚单。
可用的自定义字段列表
自定义字段 | 类型 |
---|---|
Xray_Impacted_Artifact | 文本 |
Xray_Package_Type | 文本 |
Xray_Vulnerability_Id | 文本 |
Xray_Violation_Type | 文本 |
Xray_Severity | 文本 |
Xray_Severity_Source | 文本 |
Xray_JFrog_Research_Severity | 文本 |
Xray_CVEs | 文本 |
Xray_CVSS_V2_Vector | 文本 |
Xray_CVSS_V3_Vector | 文本 |
Xray_CVSS_V2_Score | 文本 |
Xray_CVSS_V3_Score | 文本 |
Xray_Fix_Version | 文本 |
Xray_Watch_Name | 文本 |
Xray_Policy_Name | 文本 |
Xray_Triggered_Rule | 文本 |
Xray_Component_License_Id | 文本 |
Xray_Created_Date | 文本 |
x射线实体自定义字段
可供使用的x射线标签列表
标签 | 类型 |
---|---|
Xray_Impacted_Artifact | 文本 |
Xray_Impacted_Component | 文本 |
Xray_Package_Type | 文本 |
Xray_Vulnerability_Id | 文本 |
Xray_Violation_Type | 文本 |
Xray_Severity | 文本 |
Xray_JFrog_Research_Severity | 文本 |
Xray_CVEs | 文本 |
Xray_CVSS_V2_Score | 文本 |
Xray_CVSS_V3_Score | 文本 |
Xray_Watch_Name | 文本 |
Xray_Policy_Name | 文本 |
Xray_Triggered_Rule | 文本 |
Xray_Component_License_Id | 文本 |
Jira Issue中的自定义字段和标签
步骤3配置策略规则
在Policy规则中启用Jira票据创建。在策略>策略规则>自动动作,选择创建Jira Ticket复选框,当发现与Policy中定义的规则相匹配的违规时,将触发Jira票据的创建。
步骤4配置手表使用Jira配置文件
将Jira配置概要文件附加到包含所有策略的手表。在Watches >手表设置选择启用Jira Ticket Creation然后在下拉列表中选择相应的Jira配置文件。触发的Jira票据将包含您在所选配置文件中定义的配置。
查看创建的Jira门票
违规的报告
在生成违规报告时,创建的Jira票据将出现在每个违规的详细信息中。
Jira票
这些是生成的Jira票的例子:
违反安全
许可违反
REST API支持
您可以使用以下REST api启用Jira票据创建: