云客户?
免费开始>
在MyJFrog >中升级
云有什么新>





概述

Xray与Atlassian的Jira软件的集成是一个强大的功能,可以基于Xray识别的安全威胁违规自动创建Jira票据。由于DevOps团队已经熟悉Jira的工作流程和用户体验,这种集成使得处理x射线检测变得很容易。一旦配置完成,P违反政策的行为将以通知的形式出现在Jira中,让您的团队知道在哪里发现了违规行为,如何优先处理它们,并立即采取行动解决它们。

页面内容


它是如何工作的?

先决条件
作为一个Jira管理员,你必须有以下信息:

您必须具有Jira管理权限才能将Jira连接到Xray。有关jira的相关步骤,请参阅Atlassian Jira文档
  1. 支持的身份验证类型应该是OAuth1、OAuth2或基本身份验证之一。
  2. 用户凭据取决于身份验证类型。
  3. Jira项目名称。
  4. 问题类型(bug、安全性、升级等)。
  5. Jira标签(可选)。
  6. 自定义字段映射(可选)。

步骤1创建Jira Connection Profile

使用一种受支持的身份验证方法,通过Xray接口将Jira连接到Xray。导航到管理> x射线安全与合规>集成> Jira集成并选择新Jira集成
Xray支持三种认证方式:
  • OAuth1
  • OAuth2
  • 基本认证

x射线自托管 x光云

Jira On-Prem

  • 基本认证
  • OAuth1
  • 基本认证
  • OAuth1

请注意:不推荐这种配置,因为它需要允许入站连接到本地Jira实例。

Jira云

  • 基本认证
  • OAuth2
  • 基本认证
  • OAuth2
根据所选择的身份验证方法,执行以下步骤。

使用OAuth1连接Jira到x射线

在x光

  1. 在Xray Jira Integration中定义以下字段:

    描述

    消费者的关键

    Jira在链接应用程序时提供的消费者密钥。

    Jira服务器URL

    Jira部署的URL。

  2. 生成一个将在Jira中定义的公钥。

在Jira

粘贴您从x射线界面复制的生成的公钥。




使用OAuth2连接Jira到x射线

在Atlassian

所需的范围权限

读:问题类型:jiraRead:问题类型。属性:jiraRead:项目:jira写道:项目。property:jira Read:user:jira Read:application-role:jira Read:avatar:jira Read:group:jira Read:issue-type-hierarchy:jira Read:project-category:jira Read:project.component:jira Read:field:jira Read:field-configuration:jira Read:issue-meta:jira Write:issue:jira Write:comment:jira Write:comment。property:jira Write:attachment:jira Read:issue:jira Read:label:jira



  1. 从Atlassian的开发人员控制台,创建一个OAUTH2集成。指定回调URL作为JFrog服务器URL,例如:

    https://artifactory:8082/xray/api/v1/ticketing/integrations/callback
  2. 在身份验证详细信息部分,复制客户端ID和秘密。您将在x射线界面中使用这些。

在x光:
在Xray Jira Integration中定义以下字段:

描述

客户机ID

从Atlassian OAUTH2集成中获得的客户端ID。

客户的秘密

从Atlassian OAUTH2集成中获得的客户端秘密。

使用基本身份验证将Jira连接到Xray

在Xray Jira Integration中定义以下字段:

描述

用户名

用于Jira身份验证的用户名。

密码

用于Jira身份验证的密码。

安装类型

Jira实例的安装类型,云或On-Prem

Jira服务器URL

Jira部署的URL。

确保测试Xray和Jira之间的连接单击测试Jira连通性按钮,然后进行下一步。


步骤2创建Jira配置文件

Jira与Xray连接成功后,需要创建Jira Configuration配置文件。由于不同的团队有不同的Jira项目,配置概要文件使您能够为每个Jira项目所发行的Jira票据定义特定的标准,例如在Jira项目中定义的标签和自定义映射。

笔记

注意事项:

  • 在配置文件中配置标签之前,应该在Jira中创建标签。
  • 如果问题类型在Jira中有强制字段,这些问题类型将不会出现在问题类型列表中以供选择。以下字段为例外:
    • 总结
    • 描述
    • 项目
    • issuetype
    • 标签
    • 记者

由于每个违规都会创建一个新的Jira罚单,您可能会在不同版本的Build、Release Bundle或包中对相同的违规有多个Jira罚单。你可以选择只有一个违规的Jira票,消除重复的Jira票。如果不勾选,将在所有构建、发布包和包中为相同的违规创建多个Jira罚单。

可用的自定义字段列表

自定义字段 类型
Xray_Impacted_Artifact 文本
Xray_Package_Type 文本
Xray_Vulnerability_Id 文本
Xray_Violation_Type 文本
Xray_Severity 文本
Xray_Severity_Source 文本
Xray_JFrog_Research_Severity 文本
Xray_CVEs 文本
Xray_CVSS_V2_Vector 文本
Xray_CVSS_V3_Vector 文本
Xray_CVSS_V2_Score 文本
Xray_CVSS_V3_Score 文本
Xray_Fix_Version 文本
Xray_Watch_Name 文本
Xray_Policy_Name 文本
Xray_Triggered_Rule 文本
Xray_Component_License_Id 文本
Xray_Created_Date 文本


x射线实体自定义字段

可供使用的x射线标签列表

标签 类型
Xray_Impacted_Artifact 文本
Xray_Impacted_Component 文本
Xray_Package_Type 文本
Xray_Vulnerability_Id 文本
Xray_Violation_Type 文本
Xray_Severity 文本
Xray_JFrog_Research_Severity 文本
Xray_CVEs 文本
Xray_CVSS_V2_Score 文本
Xray_CVSS_V3_Score 文本
Xray_Watch_Name 文本
Xray_Policy_Name 文本
Xray_Triggered_Rule 文本
Xray_Component_License_Id 文本

Jira Issue中的自定义字段和标签




步骤3配置策略规则

在Policy规则中启用Jira票据创建。策略>策略规则>自动动作,选择创建Jira Ticket复选框,当发现与Policy中定义的规则相匹配的违规时,将触发Jira票据的创建。


步骤4配置手表使用Jira配置文件

将Jira配置概要文件附加到包含所有策略的手表。在Watches >手表设置选择启用Jira Ticket Creation然后在下拉列表中选择相应的Jira配置文件。触发的Jira票据将包含您在所选配置文件中定义的配置。


查看创建的Jira门票

违规的报告

在生成违规报告时,创建的Jira票据将出现在每个违规的详细信息中。

Jira票

这些是生成的Jira票的例子:
违反安全

许可违反


REST API支持

您可以使用以下REST api启用Jira票据创建:

  • 没有标签
版权所有©2022 JFrog Ltd.