资源扫描详细数据分析2022世界杯阿根廷预选赛赛程
每个扫描到的资源——包、构建、工件和发布2022世界杯阿根廷预选赛赛程包包含以下一组Xray子选项卡和操作列表。
x射线数据子选项卡是:
- 违规行为:这些都违反了手表上定义的过滤器。它们只针对根组件报告,而不针对其依赖项报告。
- 安全:所选组件的已知安全漏洞。
- 许可:组件使用的OSS许可证。
- 死者们:所选组件包含(取决于)的组件。
- 祖先:包含(依赖于)所选组件的组件。
下面几节以显示Packages资源的Xray Data子选项卡为例。请注意,构建、工件和发布包的选项卡是相同的。
违反
显示基于用户设置的监视和关联策略在包版本上检测到的违规。您可以查看漏洞的严重程度、类型和关联的策略。要查看组件及其依赖项,请单击Component图标。在某些情况下,当检测到违规行为时,作为安全或法律人员,您希望接受或将其中一些违规行为添加到允许列表中。有关更多信息,请参见无视规则.
违反细节
漏洞细节
易损组件物理路径
安全
显示所选包版本的已知安全漏洞、受影响的版本以及不包含该漏洞的已修复版本。
若要查看违规的详细信息,请单击列表中的违规项,弹出“问题详细信息”窗口。
确定操作系统包的问题严重级别
Xray最初从JFrog管理的Xray全局数据库服务器中填充有关漏洞和许可证的数据。在初始的数据库同步之后,x射线将不断与中央数据库同步,以便每天进行新的更新。
在分析开源操作系统包的漏洞时,Xray从两个来源获取有关漏洞严重程度的数据:
- NVD:国家漏洞数据库,其中包含每个已知漏洞及其CVSS评分。有关CVSS在x射线评分的更多信息,请参见CVSS评分在x射线.
- 安全咨询:一些开源操作系统有自己的安全跟踪器,可以进一步分析操作系统包内的漏洞。
如果操作系统安全咨询包含包中有关漏洞的数据,Xray将基于该数据计算漏洞的严重程度,而不是漏洞的CVSS评分。
原因是,操作系统的安全顾问团队已经做了进一步的分析,以得出更准确的结论,关于操作系统包内漏洞的优先级/紧迫性/严重程度。
为了帮助您理解Xray如何映射来自每个操作系统的信息,我们概述了每个操作系统的严重性/优先级以及它如何在Xray中表示。
请注意,如果安全咨询中未知漏洞的严重程度,则将从NVD中计算CVSS评分。
Ubuntu
漏洞来源: Ubuntu CVE跟踪器
从:优先级
优先级x射线级别映射:
Ubuntu的优先级 |
x光严重性 |
---|---|
至关重要的 |
高 |
高 |
高 |
媒介 |
媒介 |
低 |
低 |
可以忽略不计 |
低 |
Untriaged |
未知(将使用NVD的CVSS分数) |
优先级x射线级别映射: CVSS v3
Ubuntu的优先级 |
x光严重性 |
---|---|
至关重要的 |
至关重要的 |
高 |
高 |
媒介 |
媒介 |
低 |
低 |
可以忽略不计 |
低 |
Untriaged |
未知(将使用NVD的CVSS分数) |
Debian
漏洞来源:Debian安全漏洞跟踪器
从:紧迫感
从紧急到严重映射:
Debian的紧迫性 |
x光严重性 |
---|---|
高 |
高 |
媒介 |
媒介 |
低 |
低 |
不重要的 |
低 |
生命的终结 |
未知(将使用NVD的CVSS分数) |
RPM
漏洞来源: Red Hat安全建议和CVE数据库
从:严重性评级
红帽级别到级别映射:
红帽严重性 |
x光严重性 |
---|---|
至关重要的 |
高 |
重要的 |
高 |
温和的 |
媒介 |
低 |
低 |
红帽级别到级别映射:CVSS v3
红帽严重性 |
x光严重性 |
---|---|
至关重要的 |
至关重要的 |
重要的 |
高 |
温和的 |
媒介 |
低 |
低 |
许可证
显示分配给特定版本和触发器的许可证如果它符合任何现有手表的标准。单击License查看组件所附带的License。
后裔
显示所选组件包含(取决于)的组件。
仅显示组件中存在的依赖项。未包含在包中但在包内或包旁边的元数据文件中引用的引用依赖项将不会被显示。
例如:
- 一个Maven
pom.xml
位于包装或/和包装罐旁边。 - 一个NPM
package.json
这可以在包装内找到)。
的祖先
显示包含(依赖于)所选组件的组件。
x光的行为
违规扫描
要在包版本上启动手动扫描,请选择扫描违规行为从操作列表中。
分配自定义问题
用户创建的安全漏洞被标记为自定义问题,可以由具有管理Xray元数据权限的用户删除。
分配自定义license
用户创建的license被标记为自定义license,可以被删除
从行动列表中,选择分配自定义License在您的版本中为组件分配自定义许可证。
从预定义的license列表中选择license。
点击保存.触发手动扫描更新license列表。
导出x射线数据
使用Actions菜单,您可以导出所选组件和版本的完整详细信息,包括违规、安全问题和许可证。从x射线数据选项卡在包版本页面中,选择出口数据从行动列表。
在下面出口数据弹出,指定是否要导出违规,许可证或安全参数,应该导出和导出格式。
文件被下载到您的本地驱动器。
下面是一些以不同格式导出文件的示例。
控件还可以自动导出组件详细信息导出组件详细信息REST API端点。