概述
本页介绍了JFrog Xray的发布说明,描述了每个版本发布时所做的主要修复和增强。
如需Xray早期版本的发行说明,请参阅发布说明2. x光片。x用户指南。
在你开始之前!
下载
安装程序名称更改!
从Xray 3.0开始,安装程序命名约定已经更改为包含安装程序类型。
下表列出了正式的安装程序名称。
安装程序类型 | 安装程序的语法 |
---|---|
Linux存档 | jfrog-xray——<版本> -linux.tar.gz |
组成 | jfrog-xray——<版本> -compose.tar.gz |
RPM或Debian | jfrog-xray——<版本>。< rpm | deb > |
以前的版本
以前版本的JFrog Xray可在以前的版本页面。
安装升级
有关安装说明请参阅安装x光.
要从当前安装升级到此版本,请参阅升级x光.
3.59 x光
x光3.59.4
上映日期:2022年10月12日
突出了
JFrog高级安全(仅云)
宣布JFrog高级安全包!新的安全包可与Cloud Enterprise X和Enterprise+订阅一起购买,包含以下功能:
- 漏洞上下文分析:行业第一;扫描容器和包,优先考虑OSS漏洞是否真的可以利用。
- 公开的秘密:检测存储在Artifactory中的任何容器中暴露的任何秘密,以防止内部令牌或凭据意外泄漏。
- 不安全地使用库和服务:检测常用OSS库和服务是否被使用,并安全配置,使容器化应用在默认情况下易于加固。
- Infrastructure-as-Code (IAC):扫描Artifactory存储的IaC文件,及早发现云和基础设施配置错误。x射线扫描AWS、Azure和GCP云服务的terrraform状态。
OCI图像支持
Xray现在支持扫描部署到Artifactory Docker存储库中的OCI图像。
Conda软件包支持
Xray现在可以扫描包含python包的Conda包及其依赖关系,以查找安全漏洞、许可证遵从性和操作风险。
有关Conda扫描功能的附加信息:
Conda是一个通用包、依赖项和环境管理开源项目,与语言无关。Conda通常用于可以在各种平台上运行而没有包冲突风险的应用程序。
虽然Conda是独立于语言的,但Xray对Conda的支持主要是为了扫描捆绑在Conda包中的Python包。注意,在Conda包中,UI不会显示任何安全漏洞不支持。可以找到支持的包类型的更新列表在这里.
功能增强
按需扫描增强
当JFrog CLI工具执行按需扫描,它首先从Xray服务器下载Xray可执行文件。在此版本之前,这个可执行文件的原生M1版本是不可用的。对于M1机器上的按需扫描,必须使用可执行文件的Intel X64版本,并且需要Rosseta2仿真。在这个发行版中,可以使用原生M1版本,并且不再需要Rosseta2。
扩展对其他通用存档类型/格式的支持
在Xray中增加了对额外压缩和通用归档格式和扩展名(.rar, .tbz2, tar. gz)的支持。bz2,获取焦油。Lzma, .tlz, .tar。xz .txz)。
解决问题
JIRA | 描述 |
---|---|
x光- 12288 |
修正了在某些情况下,显示x射线问题ID而不是CVE编号的问题。 |
x光- 12258 |
修正了Maven组件有时匹配到不正确版本的问题。 |
x光- 12216 |
修正了一个问题,即当构建在构建名称中包含空格时,在扫描列表构建选项卡中发出500错误。 |
x光- 10984 |
修正了在违规页面显示重复违规的问题。 |
x光- 12079 |
修复了当输入超过252个字符时,创建漏洞忽略规则对话框没有明确的字符限制的问题。 |
x光- 10981 |
修复了indexer-app 环境变量如indexer.compress.RationLimit 而且indexer.compress.MaxEntities 在某些环境中没有反映出来。 |
x光- 10980 |
增加了通过基本身份验证向Xray发送请求的支持,而密码是一个Access令牌。 |
x光- 9355 |
修正了一个问题,manifest.json 通用存储库中的文件没有索引。 |
解决漏洞
此版本包含修复安全漏洞.
3.57 x光
x光3.57.6
上映日期:2022年9月14日
解决问题
JIRA | 描述 |
---|---|
x光- 12207 |
修正了由于组件名称与工件名称相同而导致忽略规则创建失败的问题。 |
x光- 12022 |
修复了x射线扫描列表在导航到特定存储库时导致错误500的问题。 |
x光- 12197 |
修复了在某些情况下,x射线扫描返回错误的漏洞总数的问题。 |
x光- 11850 | 修正了RabbitMQ使用者无法从RabbitMQ连接问题中正常恢复的问题。 |
x光- 11164 |
修复了在某些情况下,扫描Debian软件包会导致漏洞匹配错误的问题。 |
解决漏洞
此版本包含修复安全漏洞.
3.55 x光
x光3.55.2
上映日期:2022年8月17日
突出了
扫描REST API支持列表
为扫描列表特性引入了REST api.有关更多信息,请参见扫描REST接口.
功能增强
忽略规则改进
当忽略规则过期或被删除时,在某些情况下,它需要手动重新扫描以重新出现违规行为。如果受到忽略规则影响的工件数量小于50,x射线现在将自动重新扫描违例。为了避免任何性能影响,数量是有限的。对于影响大量工件的过期忽略规则,仍然可能需要完全重新扫描。
提高影响分析性能
介绍了以下性能改进:
- 当发布新漏洞或更新其数据时,将分析对工件的影响并更新结果。当存在许多工件和组件时,这可能会导致性能问题。为了避免性能问题,影响分析过程现在只应用于高调的cve (JFrog安全CVE研究和浓缩),不再适用于所有cve。
- 在Xray的DB中更新包的许可证时,DB更新后,新信息仅反映在扫描工件(或重新扫描)上。
解决问题
JIRA | 描述 |
---|---|
x光- 11799 |
修正了x射线无法解析NPM包的许可信息的问题,这是由于在package.json中使用了过时的许可信息格式。 |
x光- 12041 |
修复了一个问题,即基于工件的条件从UI中的忽略规则弹出窗口中消失。 |
x光- 12024 |
修复了在扫描列表构建选项卡中不显示构建的违规和漏洞的问题。 |
x光- 6992 |
修正了工件/包屏幕错误地聚合用户问题的问题。 |
解决漏洞
此版本包含修复安全漏洞.
3.54 x光
x光3.54.5
上映日期:2022年8月4日
突出了
扫描列表
扫描列表页面将x射线扫描详细信息合并到一个屏幕中,使您能够查看存储库、构建、发布包和包的详细信息。对于这些项,您可以进一步深入以查看违反政策,软件c分量和s安全问题。有关更多信息,请参见x射线扫描列表.
“扫描列表”页面为Artifactory 7.39.4及以上版本提供。
解决问题
JIRA | 描述 |
---|---|
x光- 11489 | 改进的PHP编写器检测。 |
x光- 11475 |
修正了x射线的数据库维护真空工作不能正常工作的问题。 |
x光- 11438 |
修正了在x射线选项卡中过滤被忽略的违规时,组件列显示错误值的问题。 |
x光- 10768 |
修正了x射线显示旧的许可证引用url的问题。修正了显示更新的url。 |
x光- 10677 |
修正了升级后由于模式名称错误导致数据迁移失败的问题。 |
x光- 10089 |
修正了在创建忽略规则时,如果多个手表多次出现违规,则需要重新扫描的问题。 |
x光- 10052 |
修正了按需扫描ID URL在扫描10次后重定向回主页的问题。 |
x光- 9354 |
修正了一个问题,其中,观看违规是不可见的用户读权限。用户现在可以看到他们拥有读权限的工件上的Watch Violations。 此修复在Artifactory 7.42.0及以上版本中可用。 |
x光- 8286 |
应用程序日志现在将以JSON格式记录到标准输出。要启用此功能,请设置以下配置shared.logging.enableJsonConsoleLogAppenders 在x射线系统YAML. |
x光- 11698 |
增加了手表违规页面的最大页面数和问题,最多显示1000页/ 50000个问题。 |
x光- 11687 |
修正了用不同名称部署多次的工件的x射线选项卡不可用的问题。 |
x光- 11682 |
修正了x射线自定义集成中的回归。 |
x光- 11681 |
修正了由于时区问题而无法触发影响分析的问题。 |
x光- 11600 |
修正了扫描Go工件时x射线选项卡没有响应的问题。 |
x光- 11080 |
修复了一个问题,即扫描构建REST API返回包含漏洞严重程度结果差异的结果。 |
x光- 10602 |
修复了扫描构建REST API为不存在的构建号返回挂起状态的问题。 |
x光- 8078 |
增加了对来自受信任目录的CA证书的支持(除了系统目录),以允许Xray和internet之间的自签名代理。 |
解决漏洞
此版本包含修复安全漏洞.
3.52 x光
x光3.52.4
上映日期:2022年7月10日
解决问题
JIRA | 描述 |
---|---|
x光- 9897 |
修正了一个问题工件的总结如果在其他Docker存储库中存在相同的Docker映像(相同的校验和),且用户权限冲突,REST API不会返回详细信息。 |
x光- 9045 |
从x射线设置页面删除队列消息最大TTL设置,因为它被更改为基于重试的功能。 |
x光- 8683 |
修正了一个问题扫描构建当构建扫描失败时,REST API正在等待最大超时时间。 |
x光- 11489 | 改进的PHP编写器检测。 |
x光- 11221 |
修正了在对现有内容应用忽略规则时,违规状态显示为活动而不是被忽略的问题。 |
3.51 x光
x光3.51.3
上映日期:2022年6月22日
突出了
RabbitMQ升级
RabbitMQ已升级至3.9.15版本。
解决问题
- (x射线-11489)改进PHP编写器检测。
x光3.51.0
上映日期:2022年6月9日
功能增强
增强了问题事件REST API
实现了一个新的V2获取Issue事件REST API,能够获取漏洞细节。
的获取Issue事件不推荐使用V1 REST API。
解决问题
JIRA | 描述 |
---|---|
x光- 9911 |
修正了重新扫描带有空校验和的文件时分析内存有时崩溃的问题。 |
x光- 10116 |
修正了在日志错误中没有显示权限错误的问题。 |
3.50 x光
本节包括Xray版本3.50的所有发行版。
x光3.50.3
上映日期:2022年6月2日
特性和增强功能
RabbitMQ升级
RabbitMQ已升级至3.9.15版本。
解决问题
此版本包含已解决的安全问题,有关详细信息,请参阅修复安全漏洞.
JIRA | 描述 |
---|---|
x光- 10512 |
新增操作风险数据发布包详细信息REST API。 |
x光- 7936 |
修正了导出安全漏洞不按严重程度排序的问题。 |
3.49 x光
上映日期:2022年5月18日
功能增强
新的按需扫描REST API
引入了一个新的REST API,允许您删除使用JFrog CLI按需扫描结果。有关更多信息,请参见删除按需扫描结果
操作风险报告
现在可以生成操作风险作为x射线报告类型之一。此外,还可以在“违规行为”报告类型中查看操作风险违规行为。获取更多信息。看到x光报告.
该特性在Artifactory 7.40版本中可用。X及以上。
解决问题
此版本包含已解决的安全问题,有关详细信息,请参阅修复安全漏洞.
JIRA | 描述 |
---|---|
x光- 10940 x光- 10803 |
固定过多的日志记录在一些边缘情况下。 |
x光- 10118 |
修正了npm在以下格式定义许可证时打包自定义许可证的问题"license": "SEE license IN 内部package.json |
x光- 10033 |
修复了使用OAuth2身份验证时,Jira Integration状态在一段时间后变为非活动状态的问题。 |
x光- 9715 |
修正了w当Artifactory中的Docker远程存储库在存储库名称中包含缓存时,Xray无法索引实际Docker缓存文件夹中的图像。 |
x光- 9403 |
增加了按字母顺序排序上升和后代标签的能力。 |
3.48 x光
本节包括Xray 3.48版的所有版本。
x光3.48.2
发布日期:2022年5月8日
解决问题
此版本包含已解决的安全问题,有关详细信息,请参阅修复安全漏洞.
JIRA | 描述 |
---|---|
x光- 10704 |
修正了一个问题,其中,当一个存储库与大量工件被标记为索引时,索引资源页面的加载时间比平时要长,2022世界杯阿根廷预选赛赛程 |
x光- 10669 |
Xray现在可以处理这样的情况:已安装的Python包从Docker映像中删除,但仍然留下了一些残留文件。 |
x光- 8502 |
x射线ID现在被添加到webhook数据中。这有助于检测还没有CVE的人。 |
x光- 10016 |
|
x光- 10782 |
修复了一些边缘情况下x射线升级的问题。 |
3.47 x光
本节包括Xray 3.47版的所有版本。
x光3.47.3
上映日期:2022年4月20日
解决问题
JIRA | 描述 |
---|---|
x光- 10672 |
修复了在某些情况下,漏洞报告中缺少漏洞详细信息的问题。 |
x光- 9057 |
修正了一个问题得到违反REST API需要Manage Watches权限。这个REST API现在只需要Read权限。 |
x光- 9056 |
更新了得到政策REST API与新的权限角色Read Policies。Artifactory version 7.37提供了新的权限角色。X及以上。 |
x光- 7959 |
修正了在项目范围中,在全局级别配置索引构建不适用于项目构建。 |
3.46 x光
上映日期:2022年4月7日
突出了
操作风险
Xray现在可以提供有关使用开源软件组件的操作风险的信息。这包括在项目中使用过时版本或不活跃的开源软件组件的风险。在此版本的当前版本中,我们将为Maven和npm包提供操作风险信息。在以后的版本中将添加更多的包类型。有关更多信息,请参见操作风险.
该特性在Artifactory 7.37版中可用。X及以上。
解决问题
JIRA | 描述 |
---|---|
x光- 10586 |
修正了在某些情况下,扫描构建的性能较慢的问题。 |
x光- 10378 |
修复了在某些情况下,当使用特殊字符访问特定工件的Xray选项卡时,Xray返回授权错误的问题。 |
x光- 10252 |
修正了一个由于npm注册表的突破性变化,x射线无法执行npm审计的问题。 |
x光- 10028 |
修正了项目管理员无法访问索引资源配置的问题。2022世界杯阿根廷预选赛赛程 |
x光- 9995 |
修复了在某些情况下,MongoDB迁移失败的问题,因为许可证名称较长。 |
x光- 9683 |
修复了一个问题,即当在rpm文件上而不是在其依赖项上检测到漏洞时,受感染的组件和固定版本返回空数据。 |
x光- 9674 |
修复了在监视邮件通知中共享的项目构建URL无法访问的问题。 |
x光- 9642 |
修正了x射线Jira集成不能显示超过30个项目的问题。 |
x光- 8794 |
修正了npm存档中的jar文件被归类为npm包类型的问题。 |
x光- 8464 |
修复了在某些情况下,如果包含先前扫描过的Docker映像,则构建扫描失败的问题。 |
x光- 8116 |
修正了当多个组件共享相同的校验和时,匹配的组件ID不正确的问题。 |
x光- 9622 | 修正了x射线无法解析的问题package.json 使用旧的许可证格式。 |
x光- 9824 | 修正了一个问题,其中,过多的警告消息被写入日志,并填满了持久重试队列。 |
x光- 9839 |
通过从日志系统中删除ping请求来减少磁盘负载。 |
3.45 x光
本节包括Xray 3.45版的所有版本。
x光3.45.2
上映日期:2022年3月31日
解决问题
- 修复了在某些情况下扫描构建性能较慢的问题。
x光3.45.1
上映日期:2022年3月21日
功能增强
Jira集成OAuth2范围支持
Atlassian增加了对新的OAuth2作用域的支持。已连接的OAuth2应用程序可以在Atlassian开发人员仪表板中使用新的范围权限进行升级和重新配置,如创建Jira连接配置文件.
增强了导出组件详细信息REST API
添加了一个新的选项output_format
在导出组件详细信息API.新选项被命名json_full
返回一个JSON文件。
解决问题
JIRA | 描述 |
---|---|
x光- 10149 |
修复了在某些情况下,当工件名称包含一些特定的特殊字符时,具有读取权限的用户无法在x射线选项卡的树视图中查看工件数据的问题。 |
x光- 10098 |
修正了x射线按需扫描在不包含libc的裸阿尔卑斯山容器上无法正常工作的问题。 |
x光- 9790 |
修正了一个问题,即如果许可证名称包含“,”字符,则会检测到多个许可证。 |
x光- 7161 |
修正了当存储库从索引资源配置中删除或删除时,它不会从监视资源中删除的问题。2022世界杯阿根廷预选赛赛程 |
x光- 9452 |
修正了w当导航到x射线选项卡时,用户具有具有特定包含模式的权限目标,该用户无法查看x射线数据,并发出权限错误。 |
x光- 10163 |
修正了x射线数据清理作业运行时x射线崩溃的问题。 |
3.44 x光
本节包括Xray 3.44版的所有版本。
x光3.44.3
上映日期:2022年3月17日
解决问题
- 修正了由于npm注册表的突破性变化,x射线无法执行npm审计的问题。
x光3.44.2
发布日期:2022年3月13日
解决问题
- 修复了在某些情况下,当工件名称包含一些特定的特殊字符时,具有读取权限的用户无法在x射线选项卡的树视图中查看工件数据的问题。
x光3.44.1
上映日期:2022年3月6日
突出了
此版本中的新UI特性可从Artifactory version 7.36中获得。x及以上的云。Self-Hosted很快就可以使用了。
物理路径
x射线现在显示工件中脆弱组件的物理路径(位置)。界面显示此信息冲击路径图在CVE内部,导出格式x射线扫描,在违规和漏洞报告。
排除没有可用固定版本的违规
在Xray Policies中引入了一个新功能,您可以在其中设置策略规则,以不生成不包含固定版本的安全问题的违规。这个新功能将帮助您改进安全工作流程,使您能够排除Policy级别的违规,不会因为不包含固定版本的问题而导致构建失败。只要有一个固定的版本可用,就会生成冲突。有关更多信息,请参见使用策略规则触发违规.
方法也支持此特性创建政策REST API。
解决问题
JIRA | 描述 |
---|---|
x光- 9718 |
修正了Webhook有效载荷包含的关键问题被标记为高而不是关键的问题。 |
x光- 9587 |
改进了x射线报告的生成性能。 |
x光- 9563 |
修正了在某些情况下,x射线不显示issue_id 工件摘要REST API中的问题。 |
x光- 8208 |
修复了一个问题,其中,以CSV格式导出的数据包含没有CVE的漏洞,不包括这些漏洞的CVSS v2评分数据。 |
x光- 1084 |
修正了一个问题,其中,x射线不提取JAR文件打包由Spring Boot。 |
3.43 x光
本节包括Xray 3.43版的所有版本。
x光3.43.4
上映日期:2022年3月18日
解决问题
- 修正了由于npm注册表的突破性变化,x射线无法执行npm审计的问题。
x光3.43.1
上映日期:2022年2月21日
解决问题
JIRA | 描述 |
---|---|
x光- 9722 |
修复了一个问题,在特定配置的极端情况下,Artifactory将返回404错误:对于刚刚部署的新工件未找到。已修复的代码将重试下载工件。 |
x光- 9619 |
修正了报告生成在处理过程中停止,但仍然标记为已完成的问题。 |
x光- 9581 |
修正了按ID排序手表违规表会导致服务器错误500的问题。 |
x光- 7261 |
修正了一个问题力重建索引REST API缺少项目引用,只能重新索引全局作用域构建。一个项目键引用,允许重新索引来自特定项目的构建。 |
x光- 9815 |
修正了在x射线HA模式下,在某些情况下,块下载不能正常工作的问题。 |
3.42 x光
本节包括Xray 3.42版的所有版本。
x光3.42.3
上映日期:2022年2月13日
功能增强
CVE丰富REST API支持
的JFrog安全CVE研究和浓缩该特性现在在以下REST api中得到支持:
新增如下参数:
- JFrog研究的严重性
- 摘要降价文本
- 详细的描述标记文字
- JFrog研究严重崩溃(原因列表)
- 补救措施(缓解方案列表)
解决问题
此版本包含已解决的安全问题,有关详细信息,请参阅修复安全漏洞.
JIRA | 描述 |
---|---|
x光- 9649 |
修正了一个问题,即当生成违规报告时,它包含关于丢失Jira票的错误消息,即使没有配置Jira集成。 |
x光- 8858 |
改进了扫描包含没有扩展名的文件或具有可执行扩展名的文件的存档的性能exe . |
3.41 x光
本节包括Xray 3.41版的所有版本。
x光3.41.4
上映日期:2022年1月26日
此版本中的新UI特性可从Artifactory version 7.33中获得。X及以上。
突出了
x射线数据保留
通过选择需要扫描的重要工件以及保留其x射线数据的时间来提高x射线性能和数据使用。要了解更多信息,请参见索引x射线资源2022世界杯阿根廷预选赛赛程.
功能增强
新增XRAY接口“XRAY配置导出导入”
- 出口API:
- 增加了使用'ticketing_integrations'属性导出票务(jira)集成的能力。
- 增加了使用'export_all'属性导出所有配置的能力。
- 进口API:
- 增加了使用'async'属性异步导入配置的能力。
要了解更多信息,请参见进出口.
解决问题
此版本包含已解决的安全问题,有关详细信息,请参阅修复安全漏洞.
JIRA | 描述 |
---|---|
x光- 9678 |
修复了在大型环境中为新的和现有工件建立索引很慢的问题,并且在非常大的持久化和/或持久化现有队列中表达自己。 |
x光- 9630 |
修复了从x射线到Artifactory的内部AQL会导致Artifactory数据库负载过大的问题。当x射线扫描构建时触发AQL。 |
x光- 9603 | 修正了JCLI索引GO二进制文件失败的问题。 |
x光- 9456 | 修正了在某些情况下zip炸弹保护错误不能正确处理,导致不必要的重试的问题。 |
3.40 x光
本节包括Xray 3.40版的所有版本。
x光3.40.4
上映日期:2022年1月18日
解决问题
- 修正了从x射线到Artifactory的内部AQL可能会导致Artifactory数据库的重大负载的问题。当x射线扫描构建时触发AQL。
x光3.40.3
上映日期:2022年1月13日
此版本中的新UI特性可从Artifactory version 7.31中获得。X及以上。
突出了
生成软件材料清单(SBOM)报告
Xray现在可以生成SPDX和CycloneDX标准格式的SBOM报告。这将帮助DevSecOps团队识别正在使用的软件组件、它们的依赖关系以及相关的许可风险(如果有的话)。要了解更多信息,请参见x射线SBOM报告.
功能增强
按需二进制扫描Docker支持
x射线的按需二进制扫描使用JFrog CLI现在支持扫描Docker图像。您可以对Docker映像进行特别扫描,而无需先将其上传到Artifactory。
该特性需要JFrog CLI 2.11.0版本。
按需二进制扫描新UI
你现在可以在JFrog平台的x射线UI中查看使用JFrog CLI运行的按需二进制扫描。这使您能够在x射线中查看和执行扫描相关的操作。有关更多信息,请参见按需二进制扫描.
解决问题
JIRA | 描述 |
---|---|
x光- 8611 |
修正了一个问题,即x射线无法检测包版本时,它包含@字符作为前缀和后缀。 |
x光- 8271 |
修复了在共享公共层的另一个图像上触发强制重新索引后,Docker图像丢失安全结果的问题。 |
x光- 8113 |
修正了一个自定义许可证错误地列在两个不同工件下的问题,尽管它只附加到一个工件上。 |
x光- 8108 |
修正了x射线无法扫描包含损坏文件的Docker图像的问题。 |
x光- 9259 |
修正了一个问题,即当扫描同一工件在同一时间在不同的路径,其中一些工件被标记为未扫描。 升级到此x射线版本后,还可以通过运行现在扫描REST API。 |
x光- 5078 |
修正了在某些情况下,x射线在许可证选项卡中无法显示正确的许可证数量的问题。 |
x光- 8800 |
改进了日志错误消息,以便在提取存档时提供更多信息已达到字节总数限制 发出错误消息。新增如下值:
|
x光- 8918 |
提高了扫描Build V2REST API,通过添加一个选项来检索所有构建的漏洞新include_vulnerabilities 查询参数。 |
3.38 x光
本节包括Xray 3.38版的所有版本。
x光3.38.6
上映日期:2022年1月18日
解决问题
- 修正了从x射线到Artifactory的内部AQL可能会导致Artifactory数据库的重大负载的问题。当x射线扫描构建时触发AQL。
x光3.38.5
上映日期:2021年12月28日
解决问题
JIRA | 描述 |
---|---|
x光- 8779 x光- 9241 |
您现在可以使用按需迁移REST API修复了多个版本的组件与相同校验和相关联的错误分类问题。在按需迁移REST API中引入了一个新的重新触发标志,允许您在必要时多次重新触发此修复。 |
x光- 9381 |
修正了在索引构建时,索引操作包含与构建相关的文件具有相同校验和的不相关文件,从而导致构建索引缓慢的问题。 |
x光3.38.2
上映日期:2021年12月12日
解决问题
此版本包含已解决的安全问题,有关详细信息,请参阅修复安全漏洞.
JIRA | 描述 |
---|---|
x光- 8819 |
修正了一个问题力重建索引REST API没有正确填充Artifactory ID参数。 |
x光- 8725 |
修正了x射线自定义集成无法检索组件信息的问题。 |
x光- 8698 |
改进了每日数据库同步,现在对系统产生的负载显著减少,并在更短的时间跨度内完成。 |
x光- 8201 |
修复了一个问题,即扫描包含未上传到Artifactory的依赖项的构建,有时会导致不正确的x射线扫描结果,当这些依赖项在稍后阶段上传到Artifactory时。 |
x光- 6791 |
修复了扫描存储库中包含未标记为索引的工件的构建,有时会返回不正确的结果的问题。 |
3.37 x光
本节包括Xray 3.37版的所有版本。
x光3.37.2
上映日期:2021年11月29日
解决问题
JIRA | 描述 |
---|---|
x光- 8991 |
修复了在最新的JFrog CLI版本中,JFrog CLI依赖扫描被标记为按需二进制扫描并发出500错误的问题。 |
x光- 8838 |
修复了一个由构建扫描API返回的x射线URL对项目不正确的问题。 |
x光- 7274 |
修复了在JFrog平台中启用匿名访问时发出403错误的问题匿名用户已从Xray中删除。 |
x光3.37.1
上映:2021年11月24日
功能增强
集成动态标签和自定义字段
您现在可以在Jira问题中使用特定于x射线的实体作为动态标签和自定义字段。有关更多信息,请参见创建Jira配置文件
扫描构建REST API V2
解决问题
JIRA | 描述 |
---|---|
x光- 8680 |
修复了在某些情况下,当神器的大小未知时x光扫描失败的问题。 |
x光- 8455 |
修复了一个问题,即扫描构建REST API在包含项目键的新未扫描构建上失败。 |
x光- 8308 |
修正了x射线显示已经存在的文件的错误日志消息级别的问题。 |
x光- 8816 |
修正了当项目键长度超过6个字符时,x射线策略和手表无法创建的问题。 |
3.36 x光
本节包括Xray 3.36版的所有版本。
x光3.36.2
上映日期:2021年11月15日
解决问题
JIRA | 描述 |
---|---|
x光- 8457 |
修正了一个问题,即当构建名称和版本相同时,x射线在一个项目中包含来自不同项目的工件。 |
x光- 8115 |
修正了一个问题,即x射线检测到EPL-1.0许可证时,只有EPL-2.0许可证存在。 |
x光- 8006 |
修复了预发布版和补丁版本的Alpine包版本检测问题。 |
x光- 7799 |
修正了一个问题获取Issue事件REST API返回版本范围错误的组件。 |
x光- 8787 |
修正了一个问题,即JFrog安全研究团队在没有任何引用的情况下,不显示包含额外CVE详细信息的漏洞的漏洞详细信息。 |
x光- 8200 | 修复了使用Helm Charts安装x射线时离线DB同步无法正常工作的问题。 |
x光- 8220 |
修正了在x射线违规选项卡中显示重复策略的问题。 |
x光- 7739 |
修正了在某些情况下,当试图使用完整的URL从Artifactory下载构建构件时,扫描构建无法正常工作的问题。 |
x光- 8132 |
修复了在某些情况下,由于重试机制导致扫描停留在扫描挂起状态一段时间的问题。 |
3.35 x光
上映:2021年10月27日
此版本中的新UI特性可从Artifactory version 7.28中获得。X及以上。
突出了
扫描状态
您现在可以在Artifactory中的包、构建和发布包的x射线数据选项卡中获得有关资源扫描状态的信息2022世界杯阿根廷预选赛赛程。
立即扫描REST API
介绍新的现在扫描REST API,使您能够按需索引资源2022世界杯阿根廷预选赛赛程,甚至是那些没有标记为索引的资源。
功能增强
Jira集成增强
提高了Jira集成具有以下特点:
- 更新了JIRA票据信息,具有新的结构和额外的字段。
- 消除重复的Jira票的选项现在默认启用。注意,这不会改变现有的Jira概要配置。
- 现在,选择一个Jira配置文件会自动启用Watch中的功能。
解决问题
JIRA | 描述 |
---|---|
x光- 8390 |
修正了一个问题,即当构建在项目中时,扫描结果不会在构建中显示违规。 |
x光- 8327 |
修正了一个问题,即忽略违规选项在UI中不会出现在所有违规项目管理用户。 |
x光- 7616 |
修正了使用导出数据选项导出x射线数据性能较慢的问题。 |
x光- 8498 |
修复了在Windows环境中使用绝对路径时,使用按需二进制扫描功能扫描工件无法工作的问题。 |
3.34 x光
本节包括Xray 3.34版的所有版本。
x光3.34.1
上映日期:2021年10月14日
突出了
扫描状态的新REST API
您现在可以使用新的功能检查包、构建和发布包的扫描状态扫描状态REST接口.
解决问题
此版本包含已解决的漏洞。为了了解更多,点击这里.
JIRA | 描述 |
---|---|
x光- 8413 |
修正了在SaaS中根据前缀而不是后缀进行匹配时漏洞检测不准确的问题。 |
x光- 8399 |
修复了不支持在RabbitMQ密码中使用特殊字符的问题。 |
x光- 7986 |
修正了一个问题,其中,违规和漏洞报告不会为CVSS V3分数的违规生成关键违规数据。 |
x光- 7624 |
修正了当手表包含多个规则的策略时,创建手表失败的问题,这些规则都带有块下载操作。 |
x光- 8260 |
修正了一个问题,当安全选项卡中有许多安全违规,并且列表跨度超过1页时,列表的顺序不正确,有时会导致列表中重复或遗漏安全违规。 |
x光- 8288 |
出于安全原因,Xray现在不再允许用户类型为匿名的身份验证。 |
3.33 x光
本节包括Xray 3.33版的所有版本。
x光3.33.5
上映日期:2021年10月6日
解决问题
- 修正了x射线的额外工作人员被启动,有时会导致资源耗尽的问题。
x光3.33.4
上映日期:2021年10月3日
解决问题
JIRA | 描述 |
---|---|
x光- 8431 |
修正了非管理员用户无法查看或编辑手表的问题。 |
x光- 7650 |
修正了在某些情况下扫描特定归档文件失败的问题。 |
x光3.33.3
上映日期:2021年9月30日
此版本中的新特性可在Artifactory 7.27.3及更高版本中使用。
突出了
JFrog安全CVE研究和浓缩
Xray与Vdoo的集成介绍JFrog安全CVE的研究与浓缩的新功能,提供额外的CVE详细信息J蛙类安全研究小组,这由执行手动操作的安全专家组成并提出了一种新的JFrog严重程度评分还有一个深入的技术概述,让你更了解cve所构成的实际风险。
与Jira的x射线集成
Xray现在可以与Atlassian的Jira软件集成,可以基于Xray识别的安全威胁和违规行为自动创建Jira票据。要了解更多信息,请参见x射线Jira集成.
解决问题
JIRA | 描述 |
---|---|
x光- 8303 |
修正了一个问题,在某些情况下,违反的严重级别在按需二进制扫描和依赖扫描(均可通过JFrog CLI提供)与x光片显示的严重程度不同。 |
x光- 8278 |
改进了未知许可分类,不包括Docker层、清单和构建,以避免误报。 |
x光- 8215 |
修正了一个问题,即违规删除的手表仍然显示在x射线。 |
x光- 8163 |
修正了一个问题获取违规REST API默认情况下是按摘要排序的,这导致了一些性能问题。 |
x光- 8097 |
修正了在x射线数据库中组件版本缺失时无法检测到许可证的问题。 |
x光- 8043 |
修正了按需二进制扫描和依赖扫描(均可通过JFrog CLI)不能正常返回自定义许可证的问题。 |
x光- 8007 |
修复了在某些情况下,在通用工件上导出x射线数据时,导出的文件(CSV/JSON/PDF)为空的问题。 |
x光- 7977 |
修正了大型存储库生成违规报告花费太长时间的问题。 |
x光- 7491 |
修复了在某些情况下,重启x射线时会删除x射线系统YAML文件内容的问题。 |
x光- 7304 |
修正了当违规次数非常多时,返回Watch违规计数会导致数据库性能问题的问题。 |
x光- 7167 |
修正了一个问题,即对于具有不同校验和但路径相同的Docker图像,Xray会返回图像之前的漏洞。 |
x光- 8378 |
修正了当相同的校验和与许多公共组件关联时,DB被影响分析消息重载的问题。 |
3.32 x光
本节包括Xray 3.32版的所有版本。
x光3.32.2
上映日期:2021年9月1日
解决问题
- 修复了在某些情况下,使用配置REST API更新系统参数时会覆盖现有值的问题。
x光3.32.1
上映日期:2021年8月31日
功能增强
宽限期REST API支持
忽略规则REST API增强
您现在可以排序获取忽略规则按项目划分的REST API。
解决问题
JIRA | 描述 |
---|---|
x光- 8042 |
修复了使用Force Reindex API重新索引一个Alpine存储库,有时会导致错误的问题。 |
x光- 7665 |
修复了在某些情况下,当构建名称包含特殊字符时,构建的x射线状态不正确的问题。 |
x光- 7651 |
修正了当多个组件受到同一违规行为的影响时,导出的违规行为报告只包含一个组件的详细信息,其余的都不存在的问题。 |
x光- 8240 |
修正了Docker图像有时在x射线中显示为未索引的问题,当相同的标签(例如latest)被新图像覆盖时。 |
x光- 8257 |
修复了在某些情况下,由于最新版本或发布包版本的新过滤器,观看违规页面需要一段时间才能加载的问题。 |
3.31 x光
本节包括Xray 3.31版的所有版本。
x光3.31.2
上映日期:2021年9月1日
解决问题
- 修复了在某些情况下,由于最新版本或发布包版本的新过滤器,观看违规页面需要一段时间才能加载的问题。
x光3.31.1
上映:2021年8月23日
突出了
在构建失败前设置一个宽限期
现在,您可以在Policy中为构建失败设置宽限期,允许您在设置的时间内,在存在违规的情况下阻止构建失败。有关更多信息,请参见创建x射线策略和规则.
手表新滤镜
在x射线中过滤手表页面中的手表列表,以缩小范围并只显示与您相关的手表。有关更多信息,请参见配置x射线手表.
过滤忽略规则
使用一组不同的筛选选项,根据您选择的筛选条件缩小“忽略规则”列表。有关更多信息,请参见无视规则.
上面提到的新特性需要Artifactory 7.25版本。X和更高。
x射线报告克隆
中创建现有报表的克隆x光报告重用报表及其定义的设置,可节省您重新创建经常使用的报表的时间。这个特性需要Artifactory 7.23。X及以上。
热升级
您现在可以升级x射线高可用性(HA)从3.31.0版本安装到更高版本,无需关闭所有辅助节点。您可以在零停机时间内完成Xray HA升级。
功能增强
增强x射线依赖扫描和按需二进制扫描
x光依赖性而且x射线按需二进制文件扫描现在包括忽略违规的选项。在每次扫描的JSON报告中,结果中包含一个忽略规则URL (JFrog平台中的x射线URL),允许您在报告中创建忽略规则,如中所述无视规则.
解决问题
JIRA | 描述 |
---|---|
x光- 7394 |
修正了在某些情况下,强制重索引REST API失败的问题。 |
x光- 7322 |
修正了一个问题,即当手表页面包含大量已定义的手表和策略时,有时需要一段时间才能加载。 |
x光- 6791 |
修复了扫描存储库中包含未标记为索引的工件的构建,有时会返回不正确的结果的问题。 |
x光- 8199 |
修复了一个问题,在某些情况下,创建违规报告失败,因为一些违规中缺少数据。 |
x光- 8151 |
修复了当构建名称包含“/”字符时扫描构建失败的问题。 |
x光- 8071 |
修正了在某些情况下,删除手表并没有删除相关违规的问题。 |
3.30 x光
本节包括Xray 3.30版的所有版本。
x光3.30.2
上映日期:2021年8月18日
解决问题
JIRA数量 | 描述 |
---|---|
x光- 8213 |
修复了构建名称包含“/”字符时扫描构建失败的问题。 |
x光3.30.1
上映日期:2021年8月15日
突出了
发布包细节REST API
增加一个新的发布包详细信息返回在发布包中发现的许可证和安全违规的REST API。
解决问题
JIRA | 描述 |
---|---|
x光- 7839 |
修复了扫描构建REST API输出返回重复的受感染文件的问题。 |
x光- 7930 |
修正了扫描内部组件损坏的工件失败的问题。 |
x光- 7084 x光- 7737 |
修复了在Postgres数据库密码连接字符串中使用特殊字符时,有时会导致x射线失败的问题。 |
x光- 7791 |
修正了在dom4j库的报告中不显示CVE数据的问题。 |
3.29 x光
x光3.29.2
上映日期:2021年8月11日
解决问题
JIRA数量 | 描述 |
---|---|
x光- 7930 |
修正了扫描内部组件损坏的工件失败的问题。 |
x光- 8143 |
修复了一个问题,即当构建名称包含'/ '字符。 |
x光- 8139 |
修正了在某些情况下,强制重新索引Docker图像导致x射线失败的问题。 |
x光3.29.0
上映日期:2021年7月21日
突出了
依赖扫描
的x射线依赖扫描功能使您能够扫描您的源代码依赖项,以查找安全漏洞和许可证违规,并能够扫描您的x射线策略。依赖项扫描可用JFrog CLI.使用简单的命令行工具,您可以扫描本地文件系统上的源代码目录,从而在开发期间提供快速和早期的扫描。
按需二进制扫描
x射线现在提供按需二进制扫描来满足您的需求JFrog CLI为了快速得到结果。现在,您可以指向本地文件系统中的二进制文件,并在将二进制文件或构建到Artifactory之前收到一个报告,其中包含该二进制文件的漏洞、许可证和策略违反列表。
新的扫描功能需要JFrog CLI 2.1.0版本。
功能增强
其他REST API项目支持
为了进一步支持Xray中的项目,在Xray REST api中添加了以下内容:
- 工具扫描项目中的构建扫描构建REST API.
- 添加项目范围支持时,导出/导入手表,策略和忽略规则使用导入/导出REST API。
解决问题
JIRA数量 | 描述 |
---|---|
x光- 7956 |
修复了在某些情况下,循环依赖会导致扫描分析时堆栈溢出的问题。 |
x光- 7942 |
修复了工件摘要API有时会为推送到多个位置的Docker映像返回空结果,并且这些位置被删除的问题。 |
x光- 7803 |
修正了数据库重启导致数据库同步卡住的问题。 |
x光- 7604 |
修正了在策略中启用通知部署者选项时,不会为构建发送电子邮件通知的问题。 |
x光- 5960 |
修复了使用Import API导入x射线配置时,远程存储库未被分配为手表中的索引资源的问题。2022世界杯阿根廷预选赛赛程 |
x光- 7944 |
修正了一个没有引用的许可证被检测为未知许可证的问题。 |
x光- 7049 |
修复了在某些情况下,索引构建或存储库由于RabbitMQ故障而失败的问题。 |
x光- 8019 |
修复了x射线DB中少数情况下非公共模式的x射线升级失败的问题。 |
3.27 x光
本节包括Xray 3.27版的所有版本。
x光3.27.4
上映日期:2021年7月13日
解决问题
JIRA数量 | 描述 |
---|---|
x光- 7694 |
修正了在x射线安全选项卡中按严重性排序不能正常工作的问题。 |
x光- 7984 |
修复了x射线试用许可证从3.27.x版本失效的问题。 |
x光3.27.3
上映日期:2021年7月12日
功能增强
健康检查就绪状态新配置
属性中的以下新配置参数现在可以配置运行状况检查准备状态功能x射线系统YAML.
shared.probes.readiness.samplers.database.enabled
shared.probes.readiness.samplers.rabbitmq.enabled
- 年代
hared.probes.readiness.samplers.centraldb.enabled
(云) shared.probes.readiness.samplers.indexerDataFolderDiskUsage.enabled
shared.probes.readiness.samplers.indexerDataFolderDiskUsage.threshold
x光3.27.2
上映日期:2021年6月30日
此版本中引入的新特性需要Artifactory 7.21.3及以上版本。
突出了
项目中的新安全经理角色
一个安全管理器可以执行与安全相关的项目操作,如管理x射线数据、管理报告、管理监视和策略以及忽略全局违规。
生成项目范围的x射线报告
现在可以生成全球x光报告为所选项目的所有报告类型在x射线。
在项目上应用全局监视
你现在可以申请全球手表使您能够在选定的项目中设置规则和策略。
功能增强
新增DB同步指标
数据库中添加了新的DB Sync指标,以监视DB Sync状态开放的标准REST API和日志。
解决问题
JIRA数量 | 描述 |
---|---|
x光- 6970 |
修正了x射线检测到含有CDDL-1.1和GPL-2.0双重许可证的组件为未知许可证的问题。 |
x光- 6456 |
修复了一个问题,即在构建推送到Artifactory后不久激活扫描构建时,两个进程可能并行运行,导致数据库错误和失败。 |
x光- 6152 |
修正了x射线服务器请求日志旋转没有存档到默认存档文件夹的问题。 |
x光- 7461 |
修复了在某些情况下,旧子组件的一些漏洞会在x射线选项卡中显示的问题。 此修复在Artifactory 7.21.2及以上版本中可用。 |
x光- 7312 |
修正了在不同Maven组件中使用相同属性时x射线无法显示正确数据的问题。 |
x光- 6717 |
提高了工件摘要REST API的性能。 |
x光- 7605 |
修正了一个x射线索引失败的问题,由于计算错误的空闲磁盘存储。 |
3.26 x光
本节包括Xray 3.26版的所有版本。
x光3.26.1
上映日期:2021年6月10日
突出了
Xray的垃圾收集器(GC)特性使您能够避免Artifactory在移动工件和提升图像时发送的删除/创建事件之间的竞争条件。默认情况下,此特性是活动的,并且可以在x射线系统YAMLdeleteMode (gc”/“渴望”)
参数。
您可以通过一组REST api来管理垃圾收集器,例如获取GC状态或强制GC运行。有关更多信息,请参见GC (Garbage Collector) REST接口.
解决问题
JIRA数量 | 描述 |
---|---|
x光- 7634 |
修正了一个问题导出组件详细信息当你有相同的Docker图像和不同的标签时,REST API不能正常工作。 |
x光- 7587 |
修复了在某些情况下,强制重新索引后,扫描的构建或新索引的Docker映像不会显示漏洞和违规的问题。 |
x光- 7316 |
修正了x射线无法扫描构建名称中包含“>”的构建的问题。 |
x光- 7030 |
修正了x射线在构建中包含特殊字符(如构建名称中的“/”“\”)时无法发现和显示违规的问题。 |
x光- 6682 |
修复了CI集成使用的x射线构建扫描结果中提供的URL没有指向x射线数据选项卡中的特定构建的问题。 |
x光- 6405 |
修复了在某些情况下,使用REST API更新系统参数会导致删除的问题jsFilesBatch 参数。 |
x光- 6153 |
修复了在某些情况下,在PDF、CSV和JSON格式的x射线数据选项卡安全导出中存在重复行的问题。 |
x光- 7613 |
修正了在某些情况下,x射线无法扫描包含Golang包的构建的问题go.mod . |
x光- 7694 |
修正了在x射线安全选项卡中按严重性排序不能正常工作的问题。 |
x光- 7683 |
修正了从版本2升级x射线的问题。X到3。当XUC组件文件名大于255个字符时,x失败。 |
x光- 7559 |
方法在存储库中按路径请求工件依赖关系图时,修正了一个问题GetArtifactDependencyGraphREST API,它返回不正确的结果。 |
3.25 x光
本节包括Xray 3.25版的所有版本。
x光3.25.1
上映:2021年5月27日
功能增强
观察和报告项目的REST api增强
增加了对项目的支持在“手表V2 REST api”和“报告REST api”中为“构建”资源创建报告或“手表”。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在发行版中已修复的问题。
JIRA数量 | 描述 |
---|---|
x光- 7570 |
修复了开放度量日志和度量REST API中的格式问题。 |
x光- 7496 |
修正了一个问题,即当构建失败时,扫描报告包括忽略和主动违规。构建扫描报告现在只包括活动违规。 |
x光- 7482 |
修正了日志中一些太长的消息难以读取的问题。 |
x光- 7101 |
修复漏洞问题cve - 2020 - 28852. |
x光- 7585 |
修正了一个问题,即当包版本是发布候选版本时,x射线扫描Alpine包有时会导致假阳性信息。 |
x光- 7586 |
修复了Go的Xz包相关的安全漏洞。 |
x光- 7362 |
修正了一个问题,即x射线无法索引工件时,它包含一个文件与. apk 后缀。 |
3.24 x光
本节包括Xray 3.24版的所有版本。
x光3.24.2
上映:2021年5月2日
突出了
Distroless扫描
x射线现在可以扫描了谷歌disroless Images只包含您的应用程序及其运行时依赖项。
红帽漏洞扫描器认证
JFrog x射线现已获得认证红帽漏洞扫描器认证.该认证认可Xray是值得信赖的红帽安全合作伙伴,使Xray能够对红帽产品和软件包进行一致和更准确的处理,并报告漏洞,最大限度地减少误报和其他差异。hth华体会最新官方网站
功能增强
影响分析性能改进
提高了影响分析性能,显著降低了数据库服务器的CPU和I/O级别。
Red Hat软件包增强
改进了Red Hat包扫描,支持CPE匹配,增强了Red Hat漏洞检测。Xray还支持红帽模块,以便更好地扫描红帽操作系统包。
Go版本升级
带有Xray的Go版本已升级到1.16.1版本,解决了中描述的一些安全漏洞cve - 2021 - 27918.
版本捆绑
与PostgreSQL的x射线捆绑已更新为使用更新的PostgreSQL版本13.x
解决问题
JIRA数量 | 描述 |
---|---|
x光- 7347 |
修复漏洞问题cve - 2021 - 27918. |
x光- 6979 |
修复漏洞问题cve - 2020 - 26160. |
3.23 x光
上映日期:2021年4月22日
功能增强
与REST API相关的性能改进
改进运行时的性能扫描构建API。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在发行版中已修复的问题。
JIRA数量 |
描述 |
---|---|
x光- 6123 |
修正了在某些情况下,数据库同步后数据库大小意外增加的问题。 |
3.22 x光
本节包括Xray 3.22版的所有版本。
x光3.22.1
上映日期:2021年4月7日
功能增强
限制索引器使用的存储空间
现在可以限制Indexer微服务在并发下载和提取工件期间使用的存储空间。这将确保使用的存储不会超过默认的允许磁盘使用量的80%。
要启用此功能,请设置server.enableVirtualStorageManager
中的参数设置为truex射线系统YAML文件。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在发行版中已修复的问题。
JIRA数量 | 描述 |
---|---|
x光- 6998 |
修复了在手表上运行历史扫描时,工件扫描时间不更新的问题。 |
x光- 6940 |
修复了当Docker容器内的同一目录中删除多个文件时,Xray有时会报告已删除文件的误报问题。 |
x光- 6826 |
修正了停止电子邮件通知的UI配置不能正常工作的问题。 |
x光- 6744 |
修复了Maven Red Hat版本中生成假阳性安全违规的问题。 |
x光- 6439 |
修正了在监视通知邮件中提供的违规警报链接不正确的问题。 |
x光- 7349 |
修复了红帽为alt-Linux相关漏洞生成错误cpe,因此x射线报告误报的问题。x射线现在只匹配.el7a Version的后缀为.el7a 版本。 |
3.21 x光
本节包括Xray 3.21版的所有版本。
x光3.21.2
上映日期:2021年3月31日
此版本中引入的新特性需要Artifactory 7.17.4及以上版本。
突出了
项目中的x射线
云:Enterprise |企业+自托管:企业|企业+
在JFrog项目的范围内使用Xray功能。JFrog Projects是一个管理实体,用于托管您的资源(存储库、构建、发布包和管道),并将用户/组作为具2022世界杯阿根廷预选赛赛程有特定权限的成员关联起来。卸载Xray任务并将其委托给组织中的不同角色,例如根据项目管理员的特定项目范围将Xray安全管理功能分配给项目管理员。有关更多信息,请参见项目.
x射线CVSS v3评分支持
x射线现在支持CVSS v3评分除了CVSS v2评分。这将确保Xray对漏洞的评分是最新的,并提供最新的普遍标准漏洞严重等级。有关更多信息,请参见CVSS评分在x射线.
x射线柯南和C/ c++支持
x射线现在可以扫描部署到Artifactory的柯南软件包。Xray还可以扫描C/ c++依赖项作为构建的一部分。有关更多信息,请参见柯南和C/ c++支持x射线.
功能增强
x射线UI变化
JFrog平台的x射线用户界面已经改变,以创建一个更好的划分x射线任务,反映不同的角色任务。监视和策略的管理和创建已转移到Administration模块,因为这些任务通常由管理员或具有特殊权限的用户执行。手表违规和报告在应用程序模块中。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在发行版中已修复的问题。
JIRA数量 | 描述 |
---|---|
x光- 7211 | 修正了一个问题impactPathsDao。RemoveImpactPathByIds 给PostgeSQL传递了太多的参数。 |
x光- 7299 | 修复了在重新索引期间从文件中提取很长的许可证字符串时,x射线分析日志包含太多错误消息的问题。 |
x光- 7227 | 修正了一个问题扫描构建REST API返回漏洞并构建失败,但是UI中的x射线数据选项卡显示没有违规。 |
x光- 7193 |
修复了在某些情况下,当数据库同步包含一个包含大量信息的漏洞时,x射线崩溃的问题。 |
x光- 6593 |
修正了以CSV格式导出数据产生的数据少于JSON格式的问题。 |
x光- 7257 |
修正了当用户的权限目标为空时x射线会发出错误的问题。 |
3.18 x光
x光3.18.2
上映日期:2021年3月22日
解决问题
- 修正了在某些情况下,x射线在验证没有资源的权限时失败的问题。2022世界杯阿根廷预选赛赛程
x光3.18.1
上映日期:2021年3月8日
解决问题
- 修复了在某些情况下,当数据库同步包含一个包含大量信息的漏洞时,x射线崩溃的问题。
x光3.18.0
上映日期:2021年3月2日
x射线3.18版。x及以下版本与Artifactory 7.17.4及以上版本不兼容。您需要升级到Xray 3.21.2。
功能增强
PostgreSQL版本支持
PostgreSQL 13被认证为与Xray 3一起使用。X及以上。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在发行版中已修复的问题。
JIRA数量 | 描述 |
---|---|
x光- 7048 |
修正了影响分析更新影响大量工件时,x射线服务器服务可能会耗尽内存的问题。 |
x光- 7068 |
修复了在某些情况下,由于运行时错误,Docker图像无法被x射线索引的问题。 |
x光- 7006 |
修正了一个问题,即当一个新的许可证(来自x射线全球数据库)被添加到一个组件(在DB同步期间)时,触发的影响分析过程很慢。 |
x光- 6741 |
通过增加对LZMA压缩格式扫描的支持,改进了RPM包的索引 |
x光- 6188 |
修正了x射线以最大允许权限掩码(777)创建新文件和目录的问题。x射线现在将创建掩码为660的新文件和掩码为770的新目录。 |
x光- 7058 | 修正了当有许多基于Docker的RedHat映像时,影响分析队列继续增长的问题。 |
3.17 x光
本节包括Xray 3.17版的所有版本。
x光3.17.4
上映日期:2021年2月17日
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在发行版中已修复的问题。
JIRA数量 | 描述 |
---|---|
x光- 6921 |
修复了一个在Saas环境中,一个空文件会出现错误的问题package.json 在NPM审计中。 |
x光- 7031 |
修正了导致大量磁盘访问的性能问题。 |
x光- 6515 |
修正了x射线错误地将CPL许可证检测为CPAL许可证的问题。 |
x光3.17.2
上映日期:2021年2月4日
突出了
REST API开放指标
增加了与x射线DB同步时间相关的指标扫描工件和组件的总数。有关更多信息,请参见开放的标准.
功能增强
Go版本升级
升级Go版本至1.15.7,修复安全漏洞。
报表中的影响路径数据
中查看影响路径数据尽职调查报告在获取尽职调查报告内容REST API和JSON和CSV输出。
扫描构建REST API权限
的扫描构建REST API不再需要管理员权限,只需要管理Xray元数据权限。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在发行版中已修复的问题。
JIRA数量 | 描述 |
---|---|
x光- 6955 |
修复了在“构建”UI页面中,当构建号包含“构建名称”中的字符时,扫描构建时构建状态不显示为扫描时的问题。 |
x光- 6795 |
修正了在某些情况下,DB初始同步会意外暂停的问题。 |
x光- 6708 |
修正了一个问题,即当数据库服务器关闭或数据库发生一些故障时,违规不会被创建。 |
x光- 6887 |
降低了被感染的风险cve - 2020 - 29652. |
x光- 6883 |
降低了被感染的风险cve - 2020 - 26160. |
x光- 6257 |
修正了索引工件时的安全问题可能导致DOS或覆盖操作系统文件的问题。 |
x光- 6820 |
修正了一个问题,即多个源的违规不能被特定组件或组件版本的忽略规则忽略。 需要Artifactory 7.15.0及以上版本。 |
x光- 6912 |
修正了在工件/手表屏幕中使用工件过滤器忽略违规的问题,并且工件存在于多个存储库/路径中并且包含违规,违规不能被忽略。 |
3.16 x光
上映日期:2021年1月21日
突出了
新的REST API恢复被忽略的违规
引入了新的恢复被忽略的违规REST API,它允许您恢复由于定义的忽略规则而被忽略的违规。
功能增强
报表中的影响路径数据
您现在可以在JSON和CSV输出中查看漏洞和违规报告的影响路径数据。
基于时间的REST API忽略规则过滤器
属性对“忽略规则”按有效日期进行筛选和排序获取忽略规则,例如将在特定日期之前或之后到期的基于时间的规则。您还可以根据过期日期对“忽略规则”进行排序。
在“违规报表”中查看“忽略违规”
您可以在“违规报表”中查看被忽略的违规数据,包括REST接口中可使用的“忽略规则ID”。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在发行版中已修复的问题。
JIRA数量 | 描述 |
---|---|
x光- 6675 |
修正了报告进度显示不正确的百分比值的问题。 |
x光- 6802 |
将Go版本升级到1.15.6,以解决以前版本的安全漏洞。 |
x光- 6855 |
修复了在某些情况下扫描基于Docker映像的构建时超时失败的问题。 |
x光- 6856 |
修正了在某些情况下从x射线2迁移的问题。X到3。X在大型环境中由于超时或内存异常而失败。 |
3.15 x光
本节包括Xray 3.15版的所有版本。
x光3.15.3
上映日期:2021年1月7日
功能增强
x射线违规和漏洞报告现在包括从红帽操作系统顾问委员会收到的有关严重程度的额外信息。该信息将包含在报告的CSV和JSON导出格式中。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在发行版中已修复的问题。
JIRA数量 | 描述 |
---|---|
x光- 6793 |
修正了升级到x射线3.x版本后,x射线数据库磁盘空间显著增加的问题。 |
x光- 6824 |
修正了在某些情况下,手表页面无法正确加载的问题。 |
x光3.15.1
发布日期:2020年12月30日
功能增强
分级改善
提高了性能x光数据选项卡。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在发行版中已修复的问题。
JIRA数量 | 描述 |
---|---|
x光- 5560 |
修复了在某些情况下,分配自定义许可证失败,组件被分配未知许可证的问题。 |
x光- 3988 |
修正了微软自定义免费软件许可证不被x射线识别的问题。 |
x光- 6054 |
修复了在某些情况下,当扫描Debian/Ubuntu组件时,Xray报告所有受影响版本的漏洞的问题。 |
x光- 6786 |
修正了一个问题,即某些Debian包如果首次作为独立包上传,则不会报告漏洞。 |
x光- 6776 |
修复了一个在SaaS环境下x射线关闭或重启后DB同步无法触发的问题。 |
x光- 6780 |
修正了一个问题,即一个电子邮件通知发送两次时,两个通知邮件而且通知手表收件人选项在策略中配置了相同的电子邮件。 |
x光- 2560 |
修复了一个问题,在某些情况下,x射线不能索引新文件,因为事件仍然在event_states数据库表。 |
x光- 6220 |
修复了一个问题,即x射线无法扫描使用PIP客户端安装在Docker映像中的Python包。 |
x光- 602 |
修正了在某些情况下,构建扫描触发重复通知的问题。 |
3.14 x光
本节包括Xray 3.14版的所有版本。
x光3.14.3
发布日期:2020年12月29日
解决问题
- 修正了升级到x射线3.x版本后,x射线数据库磁盘空间显著增加的问题。
x光3.14.1
发布日期:2020年12月22日
功能增强
PostgreSQL驱动升级
升级PostgreSQL驱动到最新版本。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在发行版中已修复的问题。
JIRA数量 | 描述 |
---|---|
x光- 6727 |
修正了在某些情况下,MDS更新队列中的错误没有被正确处理并导致不必要的重试的问题。 |
x光- 6711 |
修正了在使用基本身份验证时存在内存泄漏的问题。当你大量使用Xray api和基本身份验证时,很可能会发生这种情况。 |
x光- 3652 |
修正了x射线在OpenSUSE组件上检测假阳性漏洞的问题。 |
x光- 5962 |
修复了一个由用户生成并属于管理组的访问令牌无法正常工作的问题。 |
x光- 6758 | 修正了x射线在分析某些工件文件结构时消耗高CPU和内存的问题。 |
x光- 6763 |
修正了x射线构建失败的问题,其中包含忽略的违规。 |
x光- 6685 |
改进了在二进制文件中多个组件上发生冲突的情况下的处理,并且忽略规则仅在这些组件的子集上设置。在修复之前,系统没有正确地指示在哪个组件上的违规被忽略,而不是被忽略。 |
3.13 x光
x光3.13.3
发布日期:2020年12月17日
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在发行版中已修复的问题。
x光- 6758 | 修正了x射线在分析某些工件文件结构时消耗高CPU和内存的问题。 |
x光- 6763 |
修正了扫描构建报告不能从被忽略的违规中清除的问题。 |
x光3.13.0
发布日期:2020年12月8日
功能增强
忽略规则增强
基于时间的忽略规则
通过“基于时间的忽略规则”,您可以为“忽略规则”设置一个过期日期,在该日期内,违规行为将被忽略,直到“忽略规则”过期。一旦该期限到期,忽略规则将被自动删除,如果再次发生违规行为,将不会被忽略。有关更多信息,请参见无视规则.此特性也通过REST API得到支持,如无视规则REST API。
存储在DB中的忽略违规
所有被忽略的违规现在都存储在DB中,它使您能够在工件、构建和发布Bundle级别上查看所有被忽略的违规。
UI的改进
UI现在在不同的屏幕中提供了关于被忽略的违规的更多信息,包括工件、构建和Release Bundle的违规列表。
要求Artifactory 7.12.0及以上
某些Ignore Rules增强需要Artifactory 7.12.0或更高版本。Artifactory 7.12.0还没有上线,很快就会上线。
导出组件详细信息API增强
添加了include_ignored_violations
参数导出组件详细信息RST API。这将返回每个匹配策略的忽略规则ID。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在发行版中已修复的问题。
JIRA数量 | 描述 |
---|---|
x光- 5875 |
修正了一个问题,其中添加自定义许可证的包与空存档包失败。 |
x光- 5816 |
修正了一个问题,即当漏洞的严重级别更新时,Xray会创建一个新的违规,而不是更新现有的违规。 |
x光- 4575 |
修正了x射线无法索引损坏的问题tar.gz 归档文件。 |
x光- 4767 |
在流程需要组件图的许多情况下提高了性能。例如,处理来自中央数据库的漏洞更新。 |
x光- 6705 |
在某些情况下,当不需要更新数据库时,改进了许可证分析过程的性能。 |
x光- 6607 |
修正了在某些情况下,x射线数据标签需要一段时间才能加载的问题。 |
3.12 x光
发布日期:2020年11月29日
功能增强
改进的索引器功能
通过改进工件的分类和复杂情况的识别,例如在其他组件中识别内部组件,增强了索引器的功能。
该增强解决了以下问题:XRAY-5380、XRAY-6032、XRAY-6023、XRAY-5601、XRAY-5200、XRAY-5022、XRAY-4551、XRAY-4540、XRAY-4505、XRAY-4081、XRAY-2167、XRAY-5355、XRAY-5448、XRAY-5786、XRAY-5694、XRAY-5534、XRAY-3716、XRAY-6583、XRAY-6441、XRAY-5449。
构建扫描改进
改进了构建扫描过程,通过让Xray只从Artifactory下载构件,这些构件是构建的一部分,Xray可以在其中扫描它们以节省资源和时间。2022世界杯阿根廷预选赛赛程
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在发行版中已修复的问题。
JIRA数量 | 描述 |
---|---|
x光- 5550 |
修复了一个问题,即在从零开始安装Xray后,Xray需要5分钟才能获取平台代理和邮件配置,这导致Xray忽略此配置并在依赖此配置的任务中失败。 |
x光- 6419 |
修复了一个问题,在某些情况下,Xray报告Debian/Ubuntu User Space Debian包上的内核漏洞。 |
x光- 6376 |
修正了当生成支持包的时间超过30秒时创建支持包不成功的问题。 |
x光- 6231 |
修正了违规汇总页面不显示与此违规相关的所有受感染组件的问题。 修复需要Artifactory 7.11.0及以上版本。 |
x光- 4124 |
修正了一个问题,即当导出工件或构建的违规时,组件数据丢失了组件版本。 |
x光- 3472 |
修正了一个问题,即当x射线处于HA设置时,PostgreSQL真空配置无法工作。 |
x光- 6284 |
修复了一个存储的XSS(跨站脚本)漏洞。 |
x光- 6250 |
修正了在某些情况下,Xray无法同步安全配置以禁用匿名访问的问题。 |
x光- 6224 |
修复了一个更新手表API失败时,所有构建选择的手表。 |
x光- 6598 |
增加了一个选项,在扫描期间标记某些组件重新评估,而不是重用以前的扫描结果。 |
x光- 6638 |
修正了在构建资源上定义的权限无法工作的问题。2022世界杯阿根廷预选赛赛程 |
x光- 6610 |
修复了一个问题,即在HA, SaaS或K8s环境中,如果在进程中间停止,每日DB同步进程可能无法完成并导致DB负载。 |
3.11 x光
x光3.11.2
发布日期:2020年11月11日
这个版本的Xray取代了3.11和3.11.1。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在发行版中已修复的问题。
JIRA数量 | 描述 |
---|---|
x光- 6597 | 修正了一个问题,即当对需要身份验证的x射线端点的调用使用了糟糕的凭据时,连续的API调用,即使使用了良好的凭据,也可能失败。 |
x光- 6274 | 修复了在RabbitMQ、PostgreSQL和MDS等内部系统上创建重复更新元数据服务器事件导致冗余负载的问题。 |
x光- 6591 |
修正了数据不卫生有时会导致SQL注入的问题。 |
x光3.11.1
发布日期:2020年11月9日
解决问题
- 修正了x射线Docker Compose指向错误的Docker注册表的问题。
x光3.11.0
发布日期:2020年11月8日
避免升级到3.11和3.11.1
在3.11和3.11.1版本(XRAY-6597)中发现了一个关键问题。此问题在3.11.2版本已修复,建议直接升级到3.11.2。
突出了
违规的报告
介绍了新的违反报告,该报告为您提供有关所选范围内每个组件的安全性和许可证违规的信息。违规信息包括违规类型、受影响工件和严重程度等信息。
违规报告在Artifactory 7.10.6及更高版本中可用
功能增强
无视规则
增强了Ignore Rules特性功能,包括在已定义的Ignore Rule上设置粒度的能力。REST API支持所有的Ignore Rule功能。
要启用这些增强,需要Artifactory版本7.10.5(可用)或更高版本。
要了解更多信息,请参见无视规则.
x射线系统YAML中的新连接参数
属性中添加了对以下两个新参数的支持x射线系统YAML:
- maxLifetimeSecs:允许连接处于活动状态的秒数,直到一个连接被回收并在其位置上建立另一个连接。
- maxIdleSecs:连接在关闭前可能处于空闲模式的秒数。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在发行版中已修复的问题。
JIRA数量 | 描述 |
---|---|
x光- 6565 |
修正了一个包含冒号的版本号在x射线中无法被扫描的问题。 |
x光- 6493 x光- 6517 |
修正了在某些情况下,数据库同步无法更新数据库行的问题。 |
x光- 6454 |
修正了x射线在某些情况下无法识别某些RPM包的许可证的问题。 |
x光- 6232 |
修正了影响分析有时会在出错时忽略消息,导致一些信息丢失的问题。 |
x光- 5291 |
修正了在观察配置和报告定义中,当有大量可用的构建时,构建选择非常慢的问题。 |
x光- 4323 |
修正了Xray由于代码中的竞态条件而无法向组件添加自定义许可证的问题。 |
x光- 3412 |
修正了一个问题,当有大量的存储库时,索引所有存储库有时会失败。 |
x光- 3104 |
修正了分析微服务由于恐慌错误而无法处理一些消息的问题。 |
x光- 6275 |
性能改进,减少数据库负载。 |
x光- 6501 |
修复了一个问题,在某些情况下,x射线错误地将RPM包分类为通用包。 |
x光- 6265 | 修正了一个问题,在某些情况下,由于高内存消耗,持久化和分析进程崩溃。 |
x光- 6247 | 为报表中出现的行数添加了可配置的限制。默认限制为每个报告100,000行。 |
X.509证书上已弃用的CommonName字段
当证书不包括主题替代名称时,在X.509证书上使用CommonName字段作为主机名禁用。
3.10 x光
本节包括Xray 3.10版的所有版本。
x光3.10.3
发布日期:2020年10月22日
突出了
阿尔卑斯山包支持x射线
x射线现在扫描和索引您的高山存储库和高山包,包括递归分析,组件图集成,并提供详细的元数据信息。
功能增强
Python包文件格式支持
Xray现在支持索引内部的Python文件(PyPI). tar
,. gz
,。tgz
,.whl
,.egg
文件格式。
支持*.tar存档中的PHP文件
Xray现在支持PHP文件* . tar
档案。
新的元数据REST API
增加一个新的重发工件元数据允许管理员将工件元数据重新发送到元数据服务器的REST API。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在发行版中已修复的问题。
JIRA数量 | 描述 |
---|---|
x光- 6196 |
修正了x射线不能按顺序处理策略中的规则的问题。 |
x光- 6181 |
修正了一个问题现有指数选项不能正常工作的RPM包。 |
x光- 6127 |
修正了在x射线系统中PostgreSQL密码无法正确转义的问题YAML 文件,它出现在x射线控制台日志。 |
x光- 6076 |
修正了从x射线版本2升级时的问题。X到3。x,当先前被x射线扫描的Docker层之一包含前缀为“fslayers”时,数据迁移失败。tarsum.v1 + sha256: 在码头工人那里manifest.json . |
x光- 5271 |
修正了一个问题,即当同一手表有多个许可证策略时,不会创建所有许可证违规。 |
x光- 6371 | 修正了一个问题,即当构建的工件包含许多引用时,扫描构建可能需要比平时更长的时间。 |
x光- 6418 | 修正了在某些极端情况下,一条消息会导致x射线崩溃的问题。添加了一种机制来防止这些消息反复崩溃Xray。 |
x光- 6446 | 修正了在某些情况下,当构建应该失败时,扫描构建没有检测到任何违规的问题。 |
x光- 6281 | 修正了一个问题,即当搜索X天的违规时,搜索会返回所有违规。 |
x光- 6372 | 修正了使用相同docker映像的两个构建返回不同违规的问题。 |
x光- 6417 | 修正了一个问题,因此,损坏某些小精灵 文件导致Indexer失败。 |
x光- 6449 | 修正了在某些情况下API/ x光/ ui / userIssues /细节 由于处理时间过长,导致服务器错误500。 |
x光- 6475 |
修正了一个问题,在某些情况下,x射线启动一个完整的DB同步,即使它是不需要的。 |
3.9 x光
本节包括Xray 3.9版的所有版本。
x光3.9.1
发布日期:2020年10月4日
突出了
尽职调查许可证报告
介绍了新的尽职调查许可证报告,它为您提供了组件和工件及其相关许可的列表。这使您能够检查和验证组件和工件是否符合许可要求。
DB同步改进
改进了92%的初始漏洞数据库同步。总时间缩短到不到1小时,且x射线系统要求最低。
解决问题
- 修复了在某些情况下,Docker层后代不显示在UI中的问题。
- 修正了一个问题,如果发现违反,Webhooks不会触发,如果失败构建选项启用。
- 改进了Xray请求日志格式,使之与JFrog平台标准保持一致。如果您有基于旧格式的自动化,请确保相应地更新它。
- 改进了Xray在响应来自Xray IDE插件的请求时的性能。
- 通过减少默认空闲连接数,改进了数据库连接池配置将数据库转换为较低的值5。系统YAML参数名已被更改以支持这种增强,但是为了向后兼容,还支持旧的参数名。有关更多信息,请参见x射线系统YAML.
弃用api
从Xray 3.9.1版本开始不支持以下api:
/ ui / api / v1 / x光/ api / v1 /项目/ < project_name > / / *
v1alpha1 /项目/ {projectsId} /出现
3.8 x光
x光3.8.8
发布日期:2020年9月26日
解决问题
- 修正了在某些情况下从x射线2迁移的问题。X到3.8.4-3.8.6可能失败。
- 修正了PostgreSQL二进制文件缺失导致迁移到Xray 3的问题。X失败。
x光3.8.7
发布日期:2020年9月25日
解决问题
- 修正了在某些情况下从x射线2迁移的问题。X到3.8.4-3.8.6可能失败。
x光3.8.6
发布日期:2020年9月16日
解决问题
- 修正了在某些情况下,从x射线2迁移的问题。x到x射线x失败了。
x光3.8.5
发布日期:2020年9月10日
解决问题
- 修正了从x射线2迁移时的问题。x到x射线X,撞击路径记录被复制。
- 修复了由于PostgreSQL依赖,安装Xray在AWS实例中运行包装器脚本(RPM风格)时失败的问题。
- 修正了升级到3.8后的问题。x一个完整的DB Sync被触发,即使它不需要。
x光3.8.3
发布日期:2020年9月8日
Xray 3.8.3作为云版本可用
Xray 3.8.3版本目前仅作为云版本可用.对于内部部署版本,3.8.3内容作为3.8.5版本的一部分提供。
功能增强
License检测改进
提高license检测性能和成功率,降低CPU利用率。
解决问题
- 修正了在某些情况下,查看或导出工件的许可证会导致PostgreSQL服务器故障的问题。
- 修复了在某些情况下无法检测到docker映像中的PyPI包许可证的问题。
- 修正了一个问题,即当使用带有类路径异常许可的GPL-2.0扫描组件时,Xray将其识别为GPL-2.0。
- 修复了一个问题,在某些情况下,RPM操作系统包在docker映像中被索引了错误的纪元。方法重新索引已使用错误纪元索引的包以修复此问题力重建索引API。
- 修复了一个问题,即当试图深入到漏洞或违规的影响路径图中的内部组件时,会发出500错误。此问题仅影响使用Xray 3.8.2版本的SaaS用户。
- 修正了一个问题,即x射线无法与Azure管理的PostgreSQL设置。向系统添加属性。Yaml,以支持连接到外部管理的数据库,其中实际数据库用户名可能与连接用户名不同。新的属性是
shared.database.actualUsername
.
x光3.8.2
上映日期:2020年8月23日
由于此版本存在一个已知错误,我们建议您升级到3.8.5版本。
功能增强
将构建添加到索引配置API
一个新的将构建添加到索引配置已将API添加到Xray REST API中,该API使您能够通过仅向选择用于索引的构建列表提供新构建名称来添加新构建。
存档安装程序改进
将Install as a service修改为对systemd支持的机器使用systemd脚本。
版本捆绑
与PostgreSQL的x射线捆绑已经更新为使用更新的PostgreSQL版本12.x
解决问题
- 改进了影响分析处理的性能。
- 修正了一个问题,在某些情况下,如果数据库在一段时间内不可用(例如数据库重新启动或故障转移),工件不能正确地索引和扫描。
- 修复了Release bundle repo映射导致x射线扫描找不到文件的问题。
- 修复了一个在Artifactory和Xray之间PHP composer的组件ID不一致的问题。不匹配已被修复,以始终匹配小写的供应商/包名。
- 修复了一个问题,即版本3.8.2之前的Xray web应用程序中的漏洞没有正确限制对许可证页面的访问,这可能会允许未经身份验证的用户获取有关服务器许可证的信息。
x光3.8.0
发布日期:2020年8月13日
突出了
漏洞报告
您现在可以创建和生成一个漏洞报告这为您提供了在工件、构建和发布包中发现的漏洞的可视化表示。通过设置特定的范围和高级筛选器来显示想要分析的确切数据,从而缩小希望看到的数据范围。一个新的报表页面现在是JFrog平台的一部分,您可以在其中创建、生成和执行各种报表操作,并能够导出为PDF、JSON和CSV文件格式以供进一步分析。漏洞报告还由报表REST api.
此报告类型是第一种x光报告这个版本中引入的特性。其他报告类型计划在将来的版本中发布,将为您提供更多的功能。
管理报表用户角色
在用户的权限中添加了一个新角色,允许用户创建、生成和管理新的Reports特性用户和组.某些api也需要此角色,例如获取每个手表的部件列表而且通过CVE查找组件.
多许可证许可方法
新多许可证许可方法使您能够在策略级别上拥有更大的灵活性,并配置一种更宽松的方法,允许拥有至少一种许可的组件通过而不会触发违规,即使某些许可不被允许。
需要手工制作的专用功能
漏洞报告,管理报表用户角色,以及多许可证许可方法这些功能都需要Artifactory 7.7.0及以上版本的云,以及7.7.3及以上版本的on - prem。
系统度量信息API和日志
x射线已经增强,以支持开放指标。新度量API中已添加并返回指标开放指标格式.新的度量相关日志文件x光——{microservice} -metrics.log
日志含义添加到文件系统。
RabbitMQ升级
RabbitMQ已升级到3.8.x版本。
功能增强
Go版本升级
带有Xray的Go版本已升级到1.14.6版本,解决了中描述的一些安全漏洞cve - 2020 - 15586.
PostgreSQL版本支持
Xray现在被认证可以在PostgreSQL版本11上运行。X和12.x。
解决问题
- 修复了IU-Extreme-1.1.1许可证URL不正确的问题。
- 修复了DB Sync失败后,DB Sync读取相同的错误包而没有下载固定包的问题。
- 修正了Debian操作系统包被命名为“源”而不是“包”的问题。
- 修正了一个问题获取每个手表的部件列表API只需要Admin权限,防止非管理员用户调用此REST API.一个新的管理报告添加user角色以允许您使用此API。
- 修正了一个问题通过CVE API查找组件没有返回具有读权限的用户的结果。一个新的管理报告添加user角色以允许您使用此API。
- 修正了当发现违规行为时,x射线不会发送电子邮件通知监视收件人的问题。
- 修正了Alert worker消耗过多内存的问题。
- 修正了RPM docker映像在无限循环的索引阶段卡住的问题。
RabbitMQ集群逻辑的改进。
3.6 x光
x光操作
发布日期:2020年7月9日
数据库同步已知问题
在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。若要解决此问题,建议中止进程并重试。如需了解更多信息,请单击在这里.
解决问题
- 修正了从x射线2迁移时的问题。X到3。时发生错误
changed_file
字段值太长user_components_docker_layer_changed_files
表格 - 修正了一个问题,当试图升级x射线和
xrayConfig
配置表中出现特殊字符%,升级失败。
x光3.6.1
发布日期:2020年7月6日
数据库同步已知问题
在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。若要解决此问题,建议中止进程并重试。如需了解更多信息,请单击在这里.
此版本包括3.6.0 Cloud版本的所有增强和解决的问题,包括下面解决的问题。
解决问题
- 修正了在启用代理的情况下启动DB同步时x射线崩溃的问题。
3.6.0
发布日期:2020年6月28日
数据库同步已知问题
在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。若要解决此问题,建议中止进程并重试。如需了解更多信息,请单击在这里.
功能增强
计划后台任务
x射线现在提供了一种方法来调度DB同步后台任务使用Update DB Sync每日更新时间REST API。x射线选择一个随机启动时间从XUC获得每日更新。这个时间可以通过API配置,不需要重新启动。
扫描事件的优先级
Xray现在优先扫描新的工件/构建/发布包,而不是来自历史扫描或完整存储库扫描的事件,并提供了控制新内容与历史/完整存储库扫描的工人数量的能力配置Workers计数REST API。需要Artifactory 7.6及以上版本。
解决问题
- 修正了一个问题在获取bin管理器ID时,代码中忽略了n错误,导致nil指针错误。
- 修正了在没有配置策略、监视和构建时扫描构建失败,并且发出不清楚的消息的问题。
- 修复了在Xray REST api中
artifactory_id
参数(或在路径内)在x射线2中是必需的。X,在3中不再需要。X和将被忽略。
3.5 x光
x光3.5.2
发布日期:2020年6月21日
数据库同步已知问题
在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。若要解决此问题,建议中止进程并重试。如需了解更多信息,请单击在这里.
功能增强
Artifactory连接管理
改进了Xray主动连接Artifactory的过程。为了减少人工设备的负载,提高性能HTTP客户端连接到Artifactory的并发连接数量有限。
存储库扫描改进
增强了存储库索引的过程。从索引存储库请求发起的Artifacts索引请求不再持久化在Artifactory数据库中。这种改进降低了Artifactory中的网络和数据库负载。
解决问题
- 修正了CVE在PDF报告中不显示的问题。
- 修正了由于不正确的RPM分布比较而导致RPM包被声明为假阳性的问题。
- 修正了x射线处理为空失败的问题
manifest.json
阻止.wh
待删除组件。 - 修正了一个问题更新构建索引配置REST API命令缺少响应消息。
- 修复了一个问题,即当x射线检测到无效或过期的许可证时,错误显示在调试级别而不是错误日志级别。
- 修正了在加载手表时,忽略规则加载缓慢的问题。
- 修正了从x射线2迁移时的问题。X到3。x,客户端SSL配置没有正确迁移。
- 修复了在高可用性集群中,重新加载配置缓存时发生错误的问题。
3.4 x光
发布日期:2020年5月17日
数据库同步已知问题
在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。若要解决此问题,建议中止进程并重试。如需了解更多信息,请单击在这里.
突出了
PosgreSQL数据库外部化
从Xray 3.4开始,您可以更好地控制资源分配,并且可以指导Xray在您的组织中使用外部PostgreSQL数据库。请记住,如果您指示Xray使用外部数据库,您可以完全控制数据库,并完全负责维护和备份数据库以供Xray使用。
解决问题
- 使用Xray Update Center (XUC)改进了初始DB同步的性能和时间。
- 修正了在许多情况下,当Docker远程存储库配置了块下载块未扫描工件设置时,Docker pull不能正常工作的问题。
- 修正了影响分析过程由于堆栈溢出错误而无法正常工作的问题。
- 修正了影响分析因多个受感染工件导致内存不足而停止运行的问题。
- 修正了x射线在索引RPM文件时由于高内存消耗导致内存不足的问题而停止工作的问题。
- 修正了当工作人员数量大于连接数量时发生连接死锁的问题。
- 修正了将手表应用于历史扫描会触发所有手表扫描的问题。
- 修复了在某些罕见情况下,Artifactory会在定期许可证检查期间断开x射线连接的问题。
- 修正了在x射线中导出数据时,在不同的文件格式中显示的结果不一致的问题,
JSON
,PDF
,CSV
中没有显示CVEPDF
而且CSV
文件。 - 修正了从x射线2.0迁移到x射线3.0后,存储的消息在迁移过程中不能正确传递,并且在x射线3.0中重试消息不能正常工作的问题。
- 修正了由于字符限制而导致组件持久化无法工作的问题。
- 修正了索引时产生无效内存地址或空指针错误的问题去包在x光。
- 修复了工件摘要Rest API为不包含的组件返回问题响应的问题
ComponentID
. - F修正了从数据库中获取所有手表会使数据库超载的问题。
- 修正了在安装时,初始x射线URL被错误定义的问题
/ x光
路径。 - 修正了在某些情况下,索引NuGet包时添加空许可证的问题。
- 修复了一些Python包在x射线中没有正确索引的问题。
3.3 x光
发布:2020年4月22日
数据库同步已知问题
在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。若要解决此问题,建议中止进程并重试。如需了解更多信息,请单击在这里.
功能增强
强制完全重索引现有组件Rest API
新力重建索引Rest API命令允许您轻松地重新索引过去已建立索引的工件。如果您想重新扫描包含过去不支持但现在支持的包类型的工件,例如,Go, Docker中的Python包或Alpine OS包,这是非常有用的。
新增手动安装Linux档案
除了现有选项之外,现在还可以使用Linux Archive安装程序安装Xray,以更好地控制如何设置环境。有关更多信息,请参见手动安装Linux档案.
增加专用策略REST API V.2命令
x射线现在支持策略命令REST API1节而且2.V.2命令支持阻止发布包,并允许您现在通知手表收件人和文件部署者。
解决问题
- 修正了在之前的x射线版本中被弃用的所有合作伙伴集成的问题(x射线1。x和2.x),显示在UI的集成页面中。从3.3版开始,当升级到Xray 3时,已弃用的集成将自动删除。X,包括数据库中与已弃用集成相关的所有漏洞。
- 修正了JSON安全报告中CVE id缺失的问题。
- 修复了一个问题,即在安全选项卡中按严重性排序组件漏洞时,所有漏洞都被标记为“高”严重性。
- 修复了升级到x射线3.2.0版本后,由于数据库迁移问题导致x射线无法启动的问题。
- 修复了Debian包中x射线数据|后代或祖先选项卡下的图形不显示的问题。
- 修正了宝石包影响分析无法正常工作的问题。
- 修复了在运行Get Policy REST API命令时,无论最小严重性定义为Low、Medium或High,都会检索所有严重性的问题。
- 修正了DB同步不对NuGet包执行影响分析的问题。
- 修正了一个问题,即配置带有Mime类型过滤器的Watch不能对.gz和.7z文件类型起作用。
- 修正了一个自定义问题无法在UI中分配给Debian包的问题。
- 改进了web中手表和策略页面的加载性能。
- 当运行Get Violations REST API命令从包含数百万个违规的数据库中检索特定手表的列表时,性能得到了改善。
- 改进了Debian包漏洞检测,基于用户在将Debian包部署到Artifactory的本地存储库时需要提供的Distribution属性。
- 修正了在更新包含之前在Artifactory中删除的存储库或构建时产生错误的问题。存储库和构建现在会在保存手表时自动删除。
- 修正了在NPM审计期间x射线服务器遭受内存泄漏的问题。
- 修复了使用Xray运行NPM审计时的问题,漏洞是由Xray添加的,无法链接到VulDB作为源。
- 修正了扫描时减少PostgreSQL DB负载的问题。
- 修复了扫描Docker图像以查找可能受感染的JavaScript文件严重影响数据库的问题。
- 修正了支持包返回的问题
request.logs
不包括x射线记录。 - 在HA环境中对数千块手表运行Update Watch REST API v.2命令时提高了性能。
- 修正了在更新包含之前在Artifactory中删除的存储库或构建时产生错误的问题。存储库和构建现在会在保存手表时自动删除。
3.2 x光
x光3.2.3
发布日期:2020年3月30日
数据库同步已知问题
在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。若要解决此问题,建议中止进程并重试。如需了解更多信息,请单击在这里.
解决问题
- 修正了x射线在尝试分配x射线试用许可证时无法连接到Artifactory的问题。
x光3.2.0
发布日期:2020年2月23日
数据库同步已知问题
在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。若要解决此问题,建议中止进程并重试。如需了解更多信息,请单击在这里.
解决问题
- 修正了由于用户组件许可证重复导致内存不足而导致x射线分析失败的问题。
3.0 x光
发布日期:2020年1月12日
数据库同步已知问题
在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。若要解决此问题,建议中止进程并重试。如需了解更多信息,请单击在这里.
突出了
JFrog平台
宣布新的JFrog平台,旨在为开发人员和管理员提供跨所有JFrog产品的无缝DevOps体验,支持以下主要功能:hth华体会最新官方网站
- 2022年世界杯预选赛赛程表通用包管理所有专业打包格式、构建工具和CI服务器。
- 安全性和遵从性这是完全集成到JFrog平台,提供完全信任的管道从代码到生产。
- 从根本上简化管理所有的结构都在一个地方。
- 完全信任您的管道从代码到生产。
- 无缝的DevOps体验从预置,云,混合或多云您的选择。
JFrog平台新功能
系统架构
Xray 3.0现在是JFrog平台部署(JPD)的一部分,JPD定义了一个由所有JFrog产品共享的单一逻辑单元。hth华体会最新官方网站简化了与JPD的x射线配对过程,现在只需要URL和共享密钥(连接密钥)。了解更多>
x光system.yaml
这个版本引入了一个新的系统配置文件,允许在安装过程之前/之后在应用程序外部处理系统配置。了解更多>
安装升级
Xray 3.0附带了一个新的安装程序,它会影响安装而且升级程序。作为新安装程序的一部分,文件结构已经改变,现在与其他JFrog产品保持一致。hth华体会最新官方网站当升级到JFrog平台时,x射线必须只连接到一个Artifactory实例.如果您有一个Xray实例连接到多个Artifactory实例,在升级Artifactory和Xray之前,您需要将Xray实例拆分为多个实例来支持这一需求。点击这里查看详情.
其他增强功能:
- 新的Docker安装程序已经改进,现在支持设置Xray容器和图像的uid/gid。
- 新的系统架构包括一个新的系统。Yaml配置,它提供了静默安装的选项。
统一权限模型
这个版本统一了所有JFrog产品的权限,允许通过一个统一的UI更容易地跨所有产品进行权限管理。hth华体会最新官方网站统一权限模型允许您创建一个适用于安装在JFrog平台上的所有产品的单一权限目标。hth华体会最新官方网站由于产品在平台中是统hth华体会最新官方网站一的,所以现在可以使用单个权限目标来控制所有产品的权限。了解更多>
统一用户界面
该版本为整个JFrog平台(包括所有JFrog产品)引入了统一的新UI。hth华体会最新官方网站如果你正在使用Artifactory和其他JFrog产品,如JFrog Xray, JFrhth华体会最新官方网站og Distribution, JFrog Mission Control和JFrog Insights,你现在可以在一个URL地址的单个UI中访问它们。x射线数据位于您的每个资源页面中,允许您快速查看扫描资源的状态-包,构建,工件或发布包。2022世界杯阿根廷预选赛赛程找到Artifactory UI中的变化。了解更多>
日志记录
所有JFrog产品现hth华体会最新官方网站在都遵循标准化的日志格式和命名约定。了解更多>
功能增强
删除MongoDB数据库
不再需要Xray在统一平台之前使用的MongoDB数据库(数据迁移过程除外)。如果您正在升级到新的JFrog平台,您的数据将自动迁移到PostgreSQL作为数据库的一部分升级过程.
发布包扫描
除了扫描存储库和构建之外,统一平台现在还允许Xray 3.0扫描发布包以查找漏洞和许可合规性。您现在可以通过在发布包上定义策略和监视来保护您的发布。违反策略可能会阻止发布的分发包.
使用模式配置索引资源2022世界杯阿根廷预选赛赛程
在配置Xray索引资源时,您现在有了更大的灵活性2022世界杯阿根廷预选赛赛程通过使用构建和发布包的排除或包括模式。
使用模式配置监视范围
现在,您在配置Watch资源范围时拥有了更大的灵活性2022世界杯阿根廷预选赛赛程的存储库、构建和发布包的名称或使用排除/包括模式。
专门的安全和合规搜索经验
Xray 3.0引入了新的安全性和合规性搜索功能,这是新功能的一部分全球搜索体验在JFrog平台。您现在可以通过资源名称、CVE编号、许可证、严重级别和扫描日期范围搜索特定的漏洞和许可证遵从性信息。了解更多>
问题解决
- Xray现在收集Alpine组件和漏洞的“分支”信息。
- x射线现在显示创建时被忽略的违例。
- xray相关Docker基本映像的安全性改进。
- 修正了在某些情况下,组件中导出的x射线数据文件无法解压缩的问题。
x光3.0.13
发布日期:2020年2月17日
数据库同步已知问题
在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。若要解决此问题,建议中止进程并重试。如需了解更多信息,请单击在这里.
解决问题
- 修正了加载和显示漏洞和违规数据时间延长的问题。
- 修正了向后代组件分配自定义问题失败的问题。
- 修正了Go包索引错误的问题。
- 修正了一个问题,中止数据库同步不删除旧的zip包。
- 修正了在某些情况下,当检测到具有漏洞的包时,不会触发违规的问题。
- 修正了x射线错误检测Debian包名的问题。