报告类型
报表功能根据您想要查看的数据提供不同的报表类型。目前有以下报告类型:漏洞报告
漏洞报告提供了关于工件、构建和发布包中的漏洞的信息。除了JFrog平台提供的关于这些实体的信息外,该报告还提供了更广泛的信息,如多个存储库、构建和发布包中的漏洞。报告中提供了脆弱组件、CVE、cvss评分和严重性等标准。您可以通过定义范围和高级筛选器来定义想要查看的信息,这些筛选器为您提供了一个灵活的漏洞报告,该报告可以通过JFrog平台和REST API获得。尽职调查许可证报告
许可尽职调查报告为您提供了组件和构件及其相关许可的列表。这使您能够审查和验证组件和构件是否符合许可证要求。此报告提供选定范围内每个组件的尽职调查许可证相关信息。尽职调查许可证信息包括在组件中发现的未知许可证和无法识别的许可证等信息。您可以通过定义范围和高级过滤器来定义您想要查看的信息,这些过滤器为您提供灵活的尽职调查报告,这些报告可以通过JFrog平台和REST API获得。违规的报告
违规报告要求Artifactory版本7.10.6及以上。
操作风险报告
违规报告要求Artifactory版本及以上。
报表在默认情况下被配置为100,000行的限制。控件中的rowsLimit参数可以配置此限制x射线系统YAML文件.
创建一个报告
需要的权限
要创建报表,您需要在其中设置Manage Reports角色权限用户和组.
步骤1新建报表
导航到应用程序模块|安全与合规|报告,并选择创建新。步骤2选择作用域
选择一个范围,为该特定范围生成列表。一次只能选择一个作用域。
从Xray 3.27.2及以上版本和Artifactory 7.21.3及以上版本开始,如果您正在使用项目,您可以生成一个全球报告所有报告类型的项目范围:
存储库范围
选择要在报告中查看信息的存储库。您可以缩小选择特定的存储库,并包含/排除模式以过滤特定的存储库。在每个字段中,您可以指定一个类似ant的模式列表来过滤入和过滤出工件查询。过滤的工作原理是从包含的模式(默认为全部)中减去被排除的模式(默认为无)。
例子:
考虑一个存储库的包含模式和排除模式如下所示:
排除模式:com/acme/exp-project/**
在这种情况下,将搜索存储库org/apache/maven/parent/1/1.pom
而且com/acme/project-x/core/1.0/nit-1.0.jar
但不是com/acme/exp-project/ / 1.1 / san-1.1.jar核心
因为com/acme/exp-project/ * *
被指定为Exclude模式.
构建范围
选择要在报告中查看信息的构建。可以按名称或模式选择构建。根据模式筛选您的构建选择,或选择只查看最新的。您还可以选择最新构建版本的数量。默认值是1,您可以设置为任何数字来显示最新的构建版本。
发布包范围
选择要在报告中查看信息的发布包。版本包范围的选择与构建范围的选择相同。项目范围
Xray版本3.27.2及以上,Artifactory版本7.21.2及以上。仅适用于带有项目的企业和企业+订阅类型。
步骤3使用高级过滤器
使用高级过滤器来缩小您希望在报告中看到的数据的范围。漏洞高级过滤器
要过滤掉您希望在报告中看到的漏洞信息,您可以设置高级过滤器。下面是一些如何过滤数据的例子:
示例1:根据在特定日期扫描的特定CVE进行筛选。
示例2:在特定的扫描日期通过CVSS2评分进行筛选,并包含一个修复。
示例3:根据特定的受影响工件进行筛选,该工件发布于特定的日期和扫描日期。
示例4:通过脆弱组件和严重性进行过滤。
尽职调查许可证高级过滤器
要过滤出您希望在报告中看到的许可证信息,您可以设置高级过滤器。下面是一些如何过滤数据的例子:例1:根据特定组件的license进行过滤。
示例2:根据许可证进行筛选,在特定的组件和工件中,在一个时间范围内扫描。
示例3:使用模式筛选许可证。
例4:过滤组件中的license
未知的许可证:查看报表中Xray组件中已知或未知的license。Unknown显示Xray无法发现任何许可的组件。但发现未被认可的:查看报表中已被认可或未被认可的license。Unrecognized显示了Xray找到许可的组件,但是这些许可证不是Xray可以识别的许可证。违反高级过滤器
要过滤掉您希望在报告中看到的违规信息,您可以设置高级过滤器。下面是一些如何过滤数据的例子:示例1:License和安全(查看特定监视和策略中的License和安全违规,未知的License和安全违规的严重程度高)
示例2:安全违规(查看特定组件上的安全违规,具有特定的CVSS2评分范围)
示例3:license违规(查看特定手表中的license违规,严重程度高,且仅未知license)
操作风险高级过滤器
若要过滤掉您希望在报告中看到的操作风险信息,您可以设置高级过滤器。步骤4生成报表
定义范围和过滤器之后,就可以生成报告了。该报表将以异步模式运行,并将被添加到报表列表页面。新的报告将显示在列表的顶部。管理报表列表和对报表执行操作
生成报表后,它将出现在报表列表中。列表中的每个报告都将包含以下信息:的名字 |
描述 |
---|---|
报告名称 |
报告的名称 |
作者 |
创建该报告的作者。 |
开始时间 |
报告开始运行的时间。 |
状态 |
报告状态:
|
进步 |
报告进展情况
|
报告长度 |
报告中的行数。 |
查看报告
报表完成后,您可以选择在UI中查看报表。支持将报表导出为PDF、JSON和CVE三种格式。查看报告细节
显示报表的详细信息,如报表类型、范围和过滤条件。导出报告
您可以将报表导出为PDF、JSON和CSV格式。每种文件格式将根据您的需要为您提供不同的功能。这些文件可以被应用程序和工具进一步使用,您的组织使用这些应用程序和工具来获得进一步的分析。下面是每种文件格式的一些示例。
CSV
JSON
{"total_rows": 68, "rows": [{"cves": [], "summary": "nir4", "severity": "High", " vulnerability able_component": "rubygems://rubygems-update:2.0.6", "impacted_artifact": "deb://all:jfrog-artifactory-pro:7.2.0~m027", "path": " nil -debian/pool/artifactory-pro-7.2.0-m027.deb", "fixed_versions": [], "published": "2020-05-26T15:06:05+03:00", "issue_id": "CustomIssue_69Q3m2hFXWCFHr0T", "package_type": "rubygems", "provider": "Custom", "description": "s", "references": []},{"cves": [{"cve":" cve - 202011612 ", "cvss_v2_score": 7.5, "cvss_v2_vector": "CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P"}], "cvss2_max_score": 7.5, "summary": "The ZlibDecoders in Netty 4.1. "x在4.1.46之前允许在解码zliben编码的字节流时无限制分配内存。攻击者可以向Netty服务器发送一个大的ZlibEncoded的字节流,迫使服务器将所有的自由内存分配给一个单独的解码器。","severity": "High", "vulnerable_component": "gav://io.netty: Netty -codec:4.1.38.Final", "impacted_artifact": "deb://all:jfrog-artifactory-pro:7.2.0~m027", "path": "nir-debian/pool/artifactory-pro-7.2.0-m027.deb", "fixed_versions": ["4.1.46. final ."Final"], "published": "2020-04-12T19:41:55+03:00", "issue_id": "XRAY-96164", "package_type": "maven",