索引资源2022世界杯阿根廷预选赛赛程
为了避免冗长而密集的分析过程,Xray不会自动分析系统中的所有资源,但允许您手动选择2022世界杯阿根廷预选赛赛程存储库、构建和发布包被索引。要配置已索引的资源,请参见2022世界杯阿根廷预选赛赛程索引x射线资源2022世界杯阿根廷预选赛赛程.
同步数据库
使用防火墙?
如果您正在使用防火墙,为了允许数据库同步成功完成,您需要将以下url添加到防火墙的白名单:
- https://releases.jfrog.io/
- https://releases-cdn.jfrog.io
- https://dl.bintray.com/
- https://akamai.bintray.com
- https://jxray.jfrog.io
要测试同步的能力,运行以下REST API端点:
https://jxray.jfrog.io/api/v1/system/ping
对于x射线扫描您的索引工件,它必须从t摄取有关问题和漏洞的数据他的主要饲料来自全局数据库服务器由JFrog维护.有两种方法来同步Xray与全局数据库服务器:
在线:在在线模式下,x射线通过互联网连接每天自动与全球数据库服务器同步
离线:在脱机模式下,您手动从全局数据库服务器下载文件,然后将它们上传到Xray
若要配置与全局数据库服务器的同步,请在政府模块,选择x射线|数据库同步.
x射线索引过程只有在初始DB同步过程完成后才会启动。
网络同步
要立即开始以便x射线扫描您的工件,您可以通过选择手动调用初始同步开始同步在状态面板。从那时起,Xray将定期自动同步问题和漏洞,每天一次。
离线同步
对于RPM安装,更新文件夹位于数据文件夹:
- $ {XRAY_HOME} / x光/数据/更新/组件
- $ {XRAY_HOME} / x光/数据/更新/弱点
如果出于任何原因,您不想保持到全局数据库服务器的实时internet连接,请选择离线在同步模式面板获取有关如何获取最新可用数据的详细说明。
版本兼容JFrog CLI
离线数据库同步需要使用JFrog CLI.
配置人
配置手表时的一个选项是让它们调用webhook,这些webhook是您可以定义的私有url,以便在发出违规时执行自定义操作。
类中可配置webhook政府模块下x射线| Webhooks.
如需添加网络链接,请单击新Webhook.
一般 |
|
Webhook名字 |
webhook的标识符。这是将被任何使用的名称手表想要调用webhook的情况下违反 |
URL |
这个webhook调用的URL。关于Xray提供给webhook的payload的详细信息,请参考webhook payload。 |
描述 |
免费文本描述。 |
使用代理 |
设置webhook通过预定义的代理。有关更多信息,请参见管理代理. |
基本认证 |
|
用户名/密码 |
webhook要求的用户名和密码。 |
自定义标题 |
调用webhook时可能需要添加的任何自定义头。 |
添加自定义集成
x射线集成在政府模块中的集成页,并显示已配置和连接的集成。
JIRA集成x射线
这个Jira集成允许您自动创建违规的Jira票发现Xray在您配置的Jira项目。有关更多信息,请参见x射线Jira集成.
脆弱性提要
JFrog Xray是开放的集成与任何数量的问题和漏洞提供者。这使您有机会添加来自您可能拥有帐户的不同提供者的分析,甚至创建自己的提供者并显示信息,例如性能问题、已知缺陷或提供者提供的任何其他信息。
要启用此功能,您需要构建以下两个REST端点,并在Xray集成页面中配置它们。
构建集成端点
为了启用自定义集成,您需要构建并运行两个REST端点。
1.检查身份验证
请求指示提供的api键是否有效。这个API应该由提要提供者公开。
请求头
apiKey:“some-api-key-which-is-unique-for-a-specific-customer”
获得/ api / checkauth
{"valid": true, "error": ""}
{"valid": false, "error": "User api key无效"}
2.请求组件信息
这个API将允许Xray从提要提供者请求有关一个或多个组件的信息,每个组件都由唯一的组件id标识。API将由提要提供者实现。
请求
请求有效负载将包含Xray想要获取的组件的唯一标识符。
此外,Xray将为请求提供一个上下文,这可以是一个项目id或其他标识符。如果第三方服务允许其用户为每个项目定义策略,这将允许在这些策略的上下文中回答请求。例如,如果第三方服务允许为每个项目创建符合OSS许可证的策略,那么如果查询的组件违反了策略,Xray可能会得到带有许可证漏洞的响应。
POST / api / componentinfo
apiKey:“some-api-key-which-is-unique-for-a-specific-customer”
{"components": [{"component_id": "gav://ant:ant:1.6.5", "blobs": ["97282a3b066de4ee4c9409979737f3911f95ceab"]}], "context": "project_id"}
响应
{"components": [{"component_id": "gav://ant:ant:1.6.5", "licenses": ["Apache 2.0"], "provider": "提要提供者","漏洞":[{"cve": "cve -2012-2098", "type": "security", "source_id": "报告问题的唯一id", "summary": "算法复杂度漏洞","description": " bzip2压缩流中排序算法中的算法复杂度漏洞","cvss_v2": "7.9", "url": "http://more.info", "publish_date":"2015-11-03T07:30:51.991+00:00", "references": ["http://archives.neohapsis.com/archives/bugtraq/2012-05/0130.html"]}]}]}
配置集成端点
要配置端点,请转到政府模块中的x射线|积分分页并单击新的集成.
要添加并连接到自定义提供程序,请设置启用复选框,输入以下参数:
- 的集成供应商的名字
- 一个描述对于供应商
- 的API密匙你从提供商那里收到的
- 的URLx射线用来检查它正在扫描的组件是否已向提供商注册。
URL应该指向请求组件信息REST端点 - 的测试网址您可以使用“”来测试提供者的API密钥。测试”按钮。
测试URL应该指向检查身份验证REST端点 - 的指向图标的URL您可以选择为供应商显示
创建手表和策略
策略和监视允许您执行组织治理标准:
- 建立你的政策和规则反映组织的标准治理行为规范。Xray支持安全性和遵从性策略类型。
- 创建表定义在其上运行相关策略的资源的范围。2022世界杯阿根廷预选赛赛程手表监视资源,例如存储库、构建和2022世界杯阿根廷预选赛赛程发布包,并在这些资源上执行分配给它们的策略。2022世界杯阿根廷预选赛赛程
- 检查违规行为当检测到的漏洞或许可证违规符合策略规则的条件时,由Xray创建。
- 如果检测到违反,例如阻止下载、构建失败或阻止发布包的分发,则在策略中设置的操作将运行。
高级设置
高级设置仅适用于自托管环境。
Xray构建在一组微服务之上,这些微服务在索引工件、与Artifactory通信、管理事件和通知等领域执行其操作。
若要配置这些设置,请使用政府模块,转到x射线安全性和合规性|高级并点击设置.
支持以下高级配置:
- 基本设置:允许启用x射线,配置行为时,它是不可用的和阻止工件。
- 系统参数:(仅自托管)提供系统设置。
- Queue Workers:(仅自托管)提供了几个参数,通过改变执行不同任务的worker数量来调整x射线性能。从Artifactory 7.12及以上版本开始,Queue Workers设置不再可以通过UI使用,只支持通过REST API。
请注意:调整这些参数可能会影响系统性能,请与系统联系JFrog支持获取更多信息。
基本设置 |
|
x光启用 |
表示JFrog平台开启了Xray功能,安装Xray时默认设置。 |
允许下载和分发时,x射线不可用 |
当x射线服务不可用时,允许从Artifactory下载工件并将发布包分发到边缘节点。 |
允许下载阻塞的工件 |
允许下载所有工件,包括被Xray阻止下载的工件。 |
阻止未扫描工件下载超时(秒) |
下载请求等待x射线扫描完成工件的最大时间。 当存储库被配置为阻止未扫描工件的下载时,此设置将使每个下载请求连接在配置的时间内保持打开状态(以秒为单位),允许Xray有足够的时间扫描工件,然后根据扫描结果返回工件或阻止它。 重要的:确保你用来从Artifactory下载工件的客户端设置为high 这也是相关的使用智能远程存储库,在那里高级→Socket超时时间(MS)应该设置为较高的值。 高级用户: Artifactory向Xray发送扫描请求的时间间隔可以使用以下方法配置系统属性.
这个系统属性决定了每个工件事件从Artifactory提交到Xray之间的间隔。当下载一个新添加的工件时,在Artifactory中创建一个事件,该事件被发送到Xray,通知它有一个需要扫描的新工件。为了让块未扫描超时有足够的时间来获得完整的扫描结果,需要快速通知x射线需要进行新的扫描,因此这个系统属性需要更改为10秒。 注意,增加/调优Tomcat HTTP连接池在等待扫描完成时,可能需要支持高负载的连接。 |
系统参数 | |
SSL不安全 |
切换跳过Xray的自签名证书验证的启用 |
无SSL邮件 |
在连接到邮件服务器时切换传输层安全性的使用 |
发送匿名统计信息 |
通过发送匿名使用统计信息改进x射线优化。 |
最大磁盘使用率 |
x射线允许的磁盘使用百分比。当达到指定值时,Xray将不下载包进行索引 |
监测采样间隔 |
执行CPU、磁盘使用情况、重启等监控任务的间隔。 |
工作时间间隔 |
运行节点特定作业的时间间隔 |
队列参数 |
|
指数 |
管理工件索引的工作人员的数量。 |
坚持 |
管理构建工件关系图所需的持久存储的工作人员的数量。 |
警报 |
管理警报的工作人员的数量。 |
分析 |
参与的工人数量扫描分析. |
影响分析 |
涉及的工人数量在影响分析来确定报告问题的组件如何影响系统中的其他组件。 |
通知 |
管理通知的工作人员的数量。 |
系统参数 |
|
SSL不安全 |
切换跳过Xray的自签名证书验证的启用 |
无SSL邮件 |
在连接到邮件服务器时切换传输层安全性的使用 |
最大磁盘使用率 |
x射线允许的磁盘使用百分比。当达到指定值时,Xray将不下载包进行索引 |
监测采样间隔 |
执行CPU、磁盘使用情况、重启等监控任务的间隔。 |
队列消息最大TTL |
消息队列系统中接受的重试次数 |
工作时间间隔 |
运行节点特定作业的时间间隔 |
从Xray版本3.6开始,Xray优先扫描新的工件/构建/发布包,而不是来自历史扫描或完整存储库扫描的事件,并且提供了控制新内容与历史/完整存储库扫描的工作人员数量的功能。若要配置工人数,请参见配置Workers Count REST API。
这需要Artifactory 7.6及以上版本。
垃圾收集器(GC)
从x射线3.26.1开始,Xray的垃圾收集器(GC)特性使您能够避免Artifactory在移动工件和提升图像时发送的删除/创建事件之间的竞争条件。默认情况下,此特性是活动的,并且可以在x射线系统YAMLdeleteMode (gc”/“渴望”)
参数。
您可以通过一组REST api来管理垃圾收集器,例如获取GC状态或强制GC运行。有关更多信息,请参见GC (Garbage Collector) REST接口.