概述
本页提供了JFrog Xray的发布说明,描述了每个版本发布时所做的主要修复和增强。
如果您需要Xray早期版本的发行说明,请参阅发布说明在x光中。x用户指南。
在你开始之前!
下载
安装程序名称更改!
从Xray 3.0开始,安装程序的命名约定被更改为包含安装程序类型。
下表列出了官方安装程序名称。
| 安装程序类型 | 安装程序的语法 |
|---|---|
| Linux存档 | jfrog-xray——<版本> -linux.tar.gz |
| 组成 | jfrog-xray——<版本> -compose.tar.gz |
| RPM或Debian | jfrog-xray——<版本>。< rpm | deb > |
以前的版本
以前版本的JFrog Xray可以在以前的版本页面。
安装与升级
安装说明请参考安装x光.
要从当前安装升级到此版本,请参考升级x光.
3.59 x光
x光3.59.4
上映日期:2022年10月12日
突出了
JFrog高级安全(仅限云)
宣布JFrog高级安全包!新的安全包可以与Cloud Enterprise X和Enterprise+订阅一起购买,包含以下功能:
- 漏洞上下文分析:一个行业第一;扫描容器和包,优先考虑是否OSS漏洞实际上是可利用的。
- 公开的秘密:检测存储在Artifactory中的任何容器中暴露的任何秘密,以防止内部令牌或凭据的意外泄漏。
- 不安全地使用库和服务:检测公共OSS库和服务是否被安全使用和配置,以便容器化应用程序可以在默认情况下轻松加固。
- Infrastructure-as-Code (IAC):扫描存储在Artifactory中的IaC文件,以便及早发现云和基础设施配置错误。x射线扫描AWS、Azure和GCP云服务的Terraform状态。
OCI图像支持
Xray现在支持扫描部署到Artifactory Docker存储库的OCI映像。
Conda软件包支持
Xray现在可以扫描包含python包及其依赖的Conda包,以查找安全漏洞、许可证合规性和操作风险。
有关Conda扫描特性的其他信息:
Conda是一个通用的软件包、依赖项和环境管理开源项目,它是独立于语言的。Conda通常用于可以在各种平台上运行而没有包冲突风险的应用程序。
虽然Conda是独立于语言的,但Xray对Conda的支持主要用于扫描捆绑在Conda包中的Python包。请注意,UI将为Conda包中的包显示零安全漏洞不支持。可以找到支持的包类型的更新列表在这里.
功能增强
按需扫描增强
当JFrog CLI工具执行按需扫描,它首先从Xray服务器下载Xray可执行文件。在此发布之前,这个可执行文件的原生M1版本是不可用的。对于M1机器上的按需扫描,必须使用Intel X64版本的可执行文件,并且需要Rosseta2仿真。在这个版本中,可以使用原生M1版本,并且不再需要Rosseta2。
扩展对其他通用归档类型/格式的支持
在Xray中增加了对额外压缩和一般存档格式和扩展名(.rar, .tbz2, tar)的支持。bz2,获取焦油。Lzma,。tlz,。tar。xz .txz)。
解决问题
| JIRA | 描述 |
|---|---|
x光- 12288 |
修正了在某些情况下,x射线issue ID会被显示而不是CVE编号的问题。 |
x光- 12258 |
修复了一个问题,即有时Maven组件匹配到一个不正确的版本。 |
x光- 12216 |
修复了一个问题,即当构建在构建名称中包含空格时,在扫描列表构建选项卡中发出500错误。 |
x光- 10984 |
修正了在违规页面上显示重复违规的问题。 |
x光- 12079 |
修复了当输入超过252个字符时,创建漏洞忽略规则对话框没有明确字符限制的问题。 |
x光- 10981 |
修复了一个问题,即配置参数的indexer-app环境变量的值,如indexer.compress.RationLimit和indexer.compress.MaxEntities在某些环境中没有反映出来。 |
x光- 10980 |
增加了对通过基本认证向Xray发送请求的支持,而密码是一个访问令牌。 |
x光- 9355 |
修正了一个问题,manifest.json未索引通用存储库中的文件。 |
解决漏洞
此版本包含修复安全漏洞.
3.57 x光
x光3.57.6
上映日期:2022年9月14日
解决问题
| JIRA | 描述 |
|---|---|
x光- 12207 |
修正了忽略规则创建失败的问题,因为组件名称与工件名称相同。 |
x光- 12022 |
修正了x射线扫描列表在导航到特定存储库时导致错误500的问题。 |
x光- 12197 |
修正了在某些情况下,x射线扫描返回错误的漏洞总数的问题。 |
| x光- 11850 | 修复了RabbitMQ消费者无法从RabbitMQ连接问题中正常恢复的问题。 |
x光- 11164 |
修复了一个问题,即在某些情况下,扫描Debian软件包导致假阳性漏洞匹配。 |
解决漏洞
此版本包含修复安全漏洞.
3.55 x光
x光3.55.2
上映日期:2022年8月17日
突出了
扫描列表REST API支持
为扫描列表特性引入REST api.有关更多信息,请参见扫描REST接口.
功能增强
忽略规则改进
当忽略规则过期或被删除时,在某些情况下,它需要手动重新扫描以重新出现违规。如果受忽略规则影响的工件数量小于50,x射线现在将自动重新扫描违规。这个数目是有限的,以避免任何性能影响。对于影响大量工件的过期忽略规则,可能仍然需要完全重新扫描。
改进的影响分析性能
介绍了以下性能改进:
- 当发布新的漏洞或更新其数据时,将分析对工件的影响并更新结果。当存在许多工件和组件时,这可能会导致性能问题。为避免性能问题,影响分析程序现只适用于大型中小型企业(JFrog安全CVE研究与充实),并将不再适用于所有cve。
- 当包的许可证在Xray的DB中更新时,更新后的新信息仅反映在扫描的工件上(或重新扫描)。
解决问题
| JIRA | 描述 |
|---|---|
x光- 11799 |
修复了由于package.json中使用了过时的许可信息格式而导致Xray无法解析NPM包的许可信息的问题。 |
x光- 12041 |
修复了一个基于工件的条件在UI中忽略规则弹出窗口中缺失的问题。 |
x光- 12024 |
修正了在扫描列表构建选项卡中没有显示构建的违规和漏洞的问题。 |
x光- 6992 |
修复了工件/包屏幕不正确地聚合用户问题的问题。 |
解决漏洞
此版本包含修复安全漏洞.
3.54 x光
x光3.54.5
上映日期:2022年8月4日
突出了
扫描列表
扫描列表页面将x射线扫描的详细信息合并到一个屏幕中,使您能够查看存储库、构建、发布包和包的详细信息。对于这些项目中的每一个,您都可以进一步深入查看违反政策,软件c分量,s安全问题。有关更多信息,请参见x射线扫描列表.
“扫描列表”界面为Artifactory版本7.39.4及以上版本提供。
解决问题
| JIRA | 描述 |
|---|---|
| x光- 11489 | 改进的PHP编写器检测。 |
x光- 11475 |
修正了x射线数据库维护真空作业不能正常工作的问题。 |
x光- 11438 |
修正了在x射线选项卡中过滤忽略违规时组件列显示错误值的问题。 |
x光- 10768 |
修复了x射线显示旧的许可证参考url的问题。固定显示更新的url。 |
x光- 10677 |
修正了升级后由于模式名称不正确导致数据迁移失败的问题。 |
x光- 10089 |
修复了一个问题,即当创建一个忽略规则时,如果违规在不同的手表中多次出现,则需要重新扫描。 |
x光- 10052 |
修复了一个问题,即,按需扫描ID URL重定向回首页后10次扫描。 |
x光- 9354 |
修正了一个问题,即观看违规不可见的用户读取权限。用户现在可以看到他们具有读取权限的工件上的Watch violation。 此修复在Artifactory版本7.42.0及以上版本中可用。 |
x光- 8286 |
应用程序日志现在将以JSON格式记录到标准输出中。要启用此功能,请设置以下配置shared.logging.enableJsonConsoleLogAppenders在x射线系统. |
x光- 11698 |
增加了观察违规页面的最大页数和问题,最多可显示1000页/ 50000个问题。 |
x光- 11687 |
修正了x射线标签对于多次使用不同名称部署的工件不可用的问题。 |
x光- 11682 |
修正了x射线自定义集成中的回归。 |
x光- 11681 |
修正了由于时区问题而无法触发影响分析的问题。 |
x光- 11600 |
修复了一个问题,即x射线标签没有响应时扫描Go工件。 |
x光- 11080 |
修复了一个问题,即扫描构建REST API返回的结果包含漏洞严重程度结果的差异。 |
x光- 10602 |
修复了扫描构建REST API为不存在的构建号返回待处理状态的问题。 |
x光- 8078 |
增加了对来自受信任目录(除了系统目录)的CA证书的支持,以允许Xray和internet之间的自签名代理。 |
解决漏洞
此版本包含修复安全漏洞.
3.52 x光
x光3.52.4
上映日期:2022年7月10日
解决问题
| JIRA | 描述 |
|---|---|
x光- 9897 |
修复了一个问题,即工件的总结如果在用户权限冲突的其他Docker存储库中存在相同的Docker映像(相同的校验和),REST API不会返回详细信息。 |
x光- 9045 |
从x射线设置页面删除了队列消息最大TTL设置,因为它被更改为基于重试的功能。 |
x光- 8683 |
修复了一个问题,即扫描构建当构建扫描失败时,REST API正在等待最大超时时间。 |
| x光- 11489 | 改进的PHP编写器检测。 |
x光- 11221 |
修正了当对现有内容应用忽略规则时,违规状态显示为活动而不是忽略的问题。 |
3.51 x光
x光3.51.3
上映日期:2022年6月22日
突出了
RabbitMQ升级
RabbitMQ已经升级到3.9.15版本。
解决问题
- 改进了PHP编写器检测。
x光3.51.0
上映日期:2022年6月9日
功能增强
增强了Issue Events REST API
实现了一个新的V2的获取Issue事件具有获取漏洞详细信息能力的REST API。
的获取Issue事件V1 REST API已弃用。
解决问题
| JIRA | 描述 |
|---|---|
x光- 9911 |
修正了重新扫描带有空校验和的文件时分析内存有时崩溃的问题。 |
x光- 10116 |
修正了在日志错误中没有显示权限错误的问题。 |
3.50 x光
本节包括所有的Xray 3.50版本。
x光3.50.3
上映日期:2022年6月2日
功能和增强
RabbitMQ升级
RabbitMQ已经升级到3.9.15版本。
解决问题
此版本包含已解决的安全问题,有关详细信息,请参阅修复安全漏洞.
| JIRA | 描述 |
|---|---|
x光- 10512 |
增加操作风险数据发布包详细信息REST API。 |
x光- 7936 |
修正了导出安全漏洞没有按严重程度排序的问题。 |
3.49 x光
上映日期:2022年5月18日
功能增强
新的按需扫描REST API
引入了一个新的REST API,允许您删除使用JFrog CLI按需扫描结果。有关更多信息,请参见删除按需扫描结果
操作风险报告
现在可以生成操作风险作为x射线报告类型之一。此外,您还可以在“违规”报告类型中查看操作风险违规。了解更多信息。看到x光报告.
此功能在Artifactory版本7.40中可用。X及以上。
解决问题
此版本包含已解决的安全问题,有关详细信息,请参阅修复安全漏洞.
| JIRA | 描述 |
|---|---|
x光- 10940 x光- 10803 |
修正了在一些边缘情况下过多的日志记录。 |
x光- 10118 |
修复了npm在使用以下格式定义许可证时打包自定义许可证的问题"license": "SEE license IN 内部package.json |
x光- 10033 |
修正了Jira集成状态在使用OAuth2认证后一段时间变为非活动状态的问题。 |
x光- 9715 |
修复了一个问题,即w当Artifactory中的Docker远程存储库在存储库名称中包含cache时,Xray无法索引实际Docker缓存文件夹中的图像。 |
x光- 9403 |
增加了按字母顺序排序祖先和后代标签的能力。 |
3.48 x光
本节包括所有的Xray 3.48版本。
x光3.48.2
上映日期:2022年5月8日
解决问题
此版本包含已解决的安全问题,有关详细信息,请参阅修复安全漏洞.
| JIRA | 描述 |
|---|---|
x光- 10704 |
修复了一个问题,即当一个具有大量工件的存储库被标记为索引时,索引资源页面的加载时间比平时长。2022世界杯阿根廷预选赛赛程 |
x光- 10669 |
Xray现在可以处理从Docker镜像中删除已安装的Python包但仍然留下一些残留文件的情况。 |
x光- 8502 |
x射线ID现在被添加到webhook数据中。这有助于还没有CVE的检测。 |
x光- 10016 |
|
x光- 10782 |
固定一般的x射线升级问题在一些边缘情况下。 |
3.47 x光
本节包括所有的Xray 3.47版本。
x光3.47.3
上映日期:2022年4月20日
解决问题
| JIRA | 描述 |
|---|---|
x光- 10672 |
修正了在某些情况下,漏洞报告中缺少漏洞细节的问题。 |
x光- 9057 |
修复了一个问题,即得到违反REST API需要Manage Watches权限。这个REST API现在只需要读取权限。 |
x光- 9056 |
更新了得到政策具有新权限角色的REST API。Artifactory版本7.37提供了新的权限角色。X及以上。 |
x光- 7959 |
修复了一个问题,即在项目范围,在全局级别配置索引构建不适用于项目构建。 |
3.46 x光
上映日期:2022年4月7日
突出了
操作风险
Xray现在可以提供有关使用开源软件组件的操作风险的信息。这些风险包括在项目中使用过时版本或不活跃的开源软件组件的风险。在此版本的当前版本中,我们将为Maven和npm包提供操作风险信息。更多的包类型将在未来的版本中添加。有关更多信息,请参见操作风险.
此功能在Artifactory版本7.37中可用。X及以上。
解决问题
| JIRA | 描述 |
|---|---|
x光- 10586 |
修正了一个问题,即在某些情况下,扫描构建有一个缓慢的性能。 |
x光- 10378 |
修正了在某些情况下,当访问带有特殊字符的特定工件的Xray选项卡时,Xray返回授权错误的问题。 |
x光- 10252 |
修复了一个由于npm注册表的重大变更导致Xray无法执行npm审计的问题。 |
x光- 10028 |
修复了项目管理员无法访问索引资源配置的问题。2022世界杯阿根廷预选赛赛程 |
x光- 9995 |
修复了一个问题,即在某些情况下,MongoDB迁移失败,由于许可证的长名称。 |
x光- 9683 |
修复了一个问题,即当在rpm文件上检测到漏洞而不是在其依赖项上检测到漏洞时,受感染的组件和固定版本返回空数据。 |
x光- 9674 |
修复了一个问题,即项目构建的监视电子邮件通知中共享的构建URL无法访问。 |
x光- 9642 |
修正了Xray Jira集成无法显示超过30个项目的问题。 |
x光- 8794 |
修复了npm归档文件中的jar文件被归类为npm包类型的问题。 |
x光- 8464 |
修复了在某些情况下,如果构建扫描包含先前扫描的Docker映像,则构建扫描失败的问题。 |
x光- 8116 |
修正了当几个组件共享相同校验和时匹配的组件ID不正确的问题。 |
| x光- 9622 | 修正了x射线无法解析的问题package.json使用旧的license格式。 |
| x光- 9824 | 修复了向日志中写入过多警告消息并填充持久重试队列的问题。 |
x光- 9839 |
通过从日志系统中删除ping请求,减少了磁盘负载。 |
3.45 x光
本节包括所有的Xray 3.45版本。
x光3.45.2
上映日期:2022年3月31日
解决问题
- 修正了一个问题,即在某些情况下,扫描构建有一个缓慢的性能。
x光3.45.1
上映时间:2022年3月21日
功能增强
Jira集成OAuth2范围支持
增加了对Atlassian推出的新的OAuth2作用域的支持。已经连接的OAuth2应用程序可以在Atlassian开发者仪表板中升级和重新配置新的作用域权限,如创建Jira连接配置文件.
增强了导出组件详细信息REST API
的新选项output_format字段中导出组件详细信息API.命名新选项json_full它返回一个JSON文件。
解决问题
| JIRA | 描述 |
|---|---|
x光- 10149 |
修正了一个问题,即在某些情况下,当工件的名称包含一些特定的特殊字符时,具有读取权限的用户无法在Xray选项卡的树视图中查看工件数据。 |
x光- 10098 |
修复了x射线按需扫描在不包含libc的裸Alpine容器上不能正常工作的问题。 |
x光- 9790 |
修复了一个问题,即如果许可证名称包含“,”字符,则会检测到多个许可证。 |
x光- 7161 |
修复了一个问题,即当存储库从索引资源配置中删除或删除时,它不会从监视资源中删除。2022世界杯阿根廷预选赛赛程 |
x光- 9452 |
修复了一个问题,即w当导航到x射线选项卡并且用户具有具有特定包含模式的权限目标时,该用户无法查看x射线数据并发出权限错误。 |
x光- 10163 |
修正了x射线数据清理作业运行时崩溃的问题。 |
3.44 x光
本节包括所有的Xray 3.44版本。
x光3.44.3
上映日期:2022年3月17日
解决问题
- 修复了一个由于npm注册表的重大变更导致Xray无法执行npm审计的问题。
x光3.44.2
上映日期:2022年3月13日
解决问题
- 修正了一个问题,即在某些情况下,当工件的名称包含一些特定的特殊字符时,具有读取权限的用户无法在Xray选项卡的树视图中查看工件数据。
x光3.44.1
上映日期:2022年3月6日
突出了
此版本中的新UI特性在Artifactory版本7.36中可用。x及以上为Cloud。自托管将很快可用。
物理路径
x射线现在显示工件中脆弱组件的物理路径(位置)。该信息显示在冲击路径图在CVE内;导出格式x光扫描,在违规和漏洞报告。
此特性也通过REST API得到支持;建设总结和工件的总结.
排除没有可用的固定版本的违规
在Xray Policies中引入一项新功能,您可以在其中设置策略规则,以便不为不包含固定版本的安全问题生成违规。这个新功能将帮助您改进安全性工作流程,使您能够排除策略级别的违规行为,因为它不会使不包含固定版本的问题的构建失败。只要有固定的版本可用,就会生成冲突。有关更多信息,请参见使用策略规则触发违规.
也支持该特性创建政策REST API。
解决问题
| JIRA | 描述 |
|---|---|
x光- 9718 |
修复了Webhook有效载荷包含严重问题时被标记为高而不是严重的问题。 |
x光- 9587 |
改进了x射线报告生成的性能。 |
x光- 9563 |
修正了一个问题,即在某些情况下,x射线不显示issue_id工件摘要REST API中的问题。 |
x光- 8208 |
修复了一个问题,即以CSV格式导出的数据包含没有CVE的漏洞,不包括这些漏洞的CVSS v2评分数据。 |
x光- 1084 |
修正了Xray无法提取Spring Boot打包的JAR文件的问题。 |
3.43 x光
本节包括所有的Xray 3.43版本。
x光3.43.4
上映日期:2022年3月18日
解决问题
- 修复了一个由于npm注册表的重大变更导致Xray无法执行npm审计的问题。
x光3.43.1
上映日期:2022年2月21日
解决问题
| JIRA | 描述 |
|---|---|
x光- 9722 |
修复了一个问题,即在特定配置的极端情况下,Artifactory将返回404错误:未找到刚刚部署的新工件。修复后的代码将重试下载工件。 |
x光- 9619 |
修正了报表生成在处理过程中停止,但仍被标记为已完成的问题。 |
x光- 9581 |
修正了按ID排序Watch违规表导致500服务器错误的问题。 |
x光- 7261 |
修复了一个问题,即力重建索引REST API缺少项目引用,只能重新索引全局范围的构建。一个项目键引用,允许对来自特定项目的构建进行重新索引。 |
x光- 9815 |
修正了在x射线HA模式下,在某些情况下,块下载不能按预期工作的问题。 |
3.42 x光
本节包括所有的Xray 3.42版本。
x光3.42.3
上映日期:2022年2月13日
功能增强
CVE浓缩REST API支持
的JFrog安全CVE研究与充实特性现在在以下REST api中支持:
增加了以下参数:
- JFrog研究严重性
- 摘要标记文本
- 详细描述降价文本
- JFrog Research严重性分解(原因列表)
- 补救(缓解选项列表)
解决问题
此版本包含已解决的安全问题,有关详细信息,请参阅修复安全漏洞.
| JIRA | 描述 |
|---|---|
x光- 9649 |
修正了当生成违规报告时,即使没有配置Jira集成,它也包含关于丢失Jira票据的错误信息的问题。 |
x光- 8858 |
改进了扫描包含没有扩展名的文件或具有可执行扩展名的文件的归档的性能exe. |
3.41 x光
本节包括所有的Xray 3.41版本。
x光3.41.4
上映日期:2022年1月26日
此版本中的新UI特性在Artifactory版本7.33中可用。X及以上。
突出了
x射线数据保留
通过选择哪些工件是重要的扫描和保留其x射线数据的时间来改善x射线性能和数据使用。要了解更多信息,请参见索引x射线资源2022世界杯阿根廷预选赛赛程.
功能增强
在XRAY api中增加了XRAY配置的导出和导入
- 出口API:
- 添加了使用'ticketing_integrations'属性导出票务(jira)集成的功能。
- 添加了使用'export_all'属性导出所有配置的功能。
- 进口API:
- 添加了使用'async'属性异步导入配置的功能。
要了解更多信息,请参见进出口.
解决问题
此版本包含已解决的安全问题,有关详细信息,请参阅修复安全漏洞.
| JIRA | 描述 |
|---|---|
x光- 9678 |
修复了一个问题,即在大型环境中对新的和现有的工件进行索引很慢,并且在非常大的持久化和/或持久化现有队列中表现出来。 |
x光- 9630 |
修复了从Xray到Artifactory的内部AQL可能导致Artifactory数据库严重负载的问题。当x射线扫描构建时触发AQL。 |
| x光- 9603 | 修复了JCLI索引GO二进制文件失败的问题。 |
| x光- 9456 | 修正了一个问题,即在某些情况下,邮政炸弹保护错误没有正确处理,导致不必要的重试。 |
3.40 x光
本节包括所有的Xray 3.40版本。
x光3.40.4
上映日期:2022年1月18日
解决问题
- 修复了一个问题,即从Xray到Artifactory的内部AQL可能会导致Artifactory数据库的严重负载。当x射线扫描构建时触发AQL。
x光3.40.3
上映日期:2022年1月13日
此版本中的新UI特性在Artifactory版本7.31中可用。X及以上。
突出了
生成软件物料清单(SBOM)报告
Xray现在可以生成SPDX和CycloneDX标准格式的SBOM报告。这将帮助DevSecOps团队识别正在使用的软件组件、它们的依赖关系以及相关的许可风险(如果有的话)。要了解更多信息,请参见x射线SBOM报告.
功能增强
按需二进制扫描Docker支持
x射线的按需二进制扫描使用JFrog CLI现在支持扫描Docker映像。您可以对Docker映像进行临时扫描,而不必先将其上传到Artifactory。
此功能需要JFrog CLI版本2.11.0。
按需二进制扫描新的用户界面
现在,您可以查看使用JFrog CLI运行的按需二进制扫描,它是JFrog平台中Xray UI的一部分。这使您能够在x射线中查看和执行扫描相关的操作。有关更多信息,请参见按需二进制扫描.
解决问题
| JIRA | 描述 |
|---|---|
x光- 8611 |
修复了一个问题,即x射线无法检测软件包版本时,它包含@字符作为前缀和后缀。 |
x光- 8271 |
修复了一个问题,即Docker映像在另一个共享公共层的映像上触发强制重新索引后缺少安全结果。 |
x光- 8113 |
修复了一个自定义许可证被错误地列在两个不同的工件下的问题,尽管它只附加到一个工件上。 |
x光- 8108 |
修复了x射线扫描包含损坏文件的Docker映像失败的问题。 |
x光- 9259 |
修正了当在同一时间在不同路径上扫描同一工件时,其中一些工件被标记为未扫描的问题。 在升级到这个Xray版本之后,还可以通过运行现在扫描REST API。 |
x光- 5078 |
修正了在某些情况下,Xray在许可证选项卡中没有显示正确的许可证数量的问题。 |
x光- 8800 |
改进了日志错误消息,以便在提取存档时提供更多信息已达到总字节限制发出错误消息。增加了以下值:
|
x光- 8918 |
提高了扫描构建V2添加一个选项来检索所有构建的漏洞新include_vulnerabilities查询参数。 |
3.38 x光
本节包括所有的Xray 3.38版本。
x光3.38.6
上映日期:2022年1月18日
解决问题
- 修复了一个问题,即从Xray到Artifactory的内部AQL可能会导致Artifactory数据库的严重负载。当x射线扫描构建时触发AQL。
x光3.38.5
上映时间:2021年12月28日
解决问题
| JIRA | 描述 |
|---|---|
x光- 8779 x光- 9241 |
你现在可以使用按需迁移REST API修复组件的多个版本与相同校验和相关联的错误分类问题。在按需迁移REST API中引入了一个新的重新触发标志,它允许您在必要时多次重新触发此修复。 |
x光- 9381 |
修复了在构建索引时,索引操作包含与构建相关的文件具有相同校验和的不相关文件的问题,从而导致构建索引缓慢。 |
x光3.38.2
上映时间:2021年12月12日
解决问题
此版本包含已解决的安全问题,有关详细信息,请参阅修复安全漏洞.
| JIRA | 描述 |
|---|---|
x光- 8819 |
修复了一个问题,即力重建索引REST API没有正确填充Artifactory ID参数。 |
x光- 8725 |
修正了x射线自定义集成无法检索组件信息的问题。 |
x光- 8698 |
改进了每日DB同步,现在在系统上产生的负载显著减少,并且可以在更短的时间内完成。 |
x光- 8201 |
修复了一个问题,即扫描包含未上传到Artifactory的依赖的构建,有时会导致这些依赖的x射线扫描结果不正确,当它们在稍后阶段上传到Artifactory时。 |
x光- 6791 |
修复了一个问题,即扫描存储库中包含未标记为索引的构件的构建时,有时会返回不正确的结果。 |
3.37 x光
本节包括所有的Xray 3.37版本。
x光3.37.2
上映时间:2021年11月29日
解决问题
| JIRA | 描述 |
|---|---|
x光- 8991 |
修正了一个问题,即在最新的JFrog CLI版本中,JFrog CLI依赖扫描被标记为按需二进制扫描,并发出500错误。 |
x光- 8838 |
修复了由构建扫描API返回的x射线URL对项目不正确的问题。 |
x光- 7274 |
修复了在JFrog平台中启用匿名访问时发出403错误的问题匿名用户被从Xray中删除了。 |
x光3.37.1
上映时间:2021年11月24日
功能增强
Jira集成动态标签和自定义字段
现在,您可以在Jira问题中使用特定于x射线的实体作为动态标签和自定义字段。有关更多信息,请参见创建Jira配置文件
扫描构建REST API V2
解决问题
| JIRA | 描述 |
|---|---|
x光- 8680 |
修正了在某些情况下,当工件的大小未知时x射线扫描失败的问题。 |
x光- 8455 |
修复了扫描构建REST API在包含项目密钥的新未扫描构建上失败的问题。 |
x光- 8308 |
修正了x射线显示一个已经存在的文件的错误日志信息级别的问题。 |
x光- 8816 |
修复了当项目密钥超过6个字符时无法创建x射线策略和监视的问题。 |
3.36 x光
本节包括所有的Xray 3.36版本。
x光3.36.2
上映时间:2021年11月15日
解决问题
| JIRA | 描述 |
|---|---|
x光- 8457 |
修复了一个问题,即当构建名称和版本相同时,Xray将来自不同项目的工件包含在项目中。 |
x光- 8115 |
修复了一个问题,即x射线检测到一个EPL-1.0许可证,而只有一个EPL-2.0许可证存在。 |
x光- 8006 |
修复了对预发布版和补丁版本的Alpine软件包版本检测。 |
x光- 7799 |
修复了获取Issue事件REST API返回版本范围错误的组件。 |
x光- 8787 |
修正了JFrog安全研究团队在没有任何参考的情况下,不显示包含额外CVE详细信息的漏洞详细信息的问题。 |
| x光- 8200 | 修复了使用Helm Charts安装Xray时离线DB同步不能正常工作的问题。 |
x光- 8220 |
修正了在x射线违规选项卡中显示重复策略的问题。 |
x光- 7739 |
修正了在某些情况下,当尝试使用完整的URL从Artifactory下载构建工件时,扫描构建不能正常工作的问题。 |
x光- 8132 |
修正了在某些情况下,由于重试机制,扫描在扫描等待状态中停留了一段时间的问题。 |
3.35 x光
上映时间:2021年10月27日
此版本中的新UI特性在Artifactory版本7.28中可用。X及以上。
突出了
扫描状态
现在,您可以在Artifactory中的Packages、Builds和Release Bundle2022世界杯阿根廷预选赛赛程s的Xray data选项卡中获取有关资源扫描状态的信息。
现在扫描REST API
介绍新产品现在扫描REST API,使您能够按需索引资源2022世界杯阿根廷预选赛赛程,即使是那些没有标记为索引的资源。
功能增强
Jira集成增强
提高了Jira集成功能如下:
- 更新了JIRA票证信息,具有新的结构和额外的字段。
- 现在默认情况下启用了消除重复Jira票据的选项。注意,这不会改变现有的Jira配置文件配置。
- 现在,选择Jira配置文件将自动启用Watch中的该特性。
解决问题
| JIRA | 描述 |
|---|---|
x光- 8390 |
修复了当构建在项目中时,扫描结果没有显示构建中的违规行为的问题。 |
x光- 8327 |
修复了一个问题,即在UI中忽略违规选项不会出现在项目管理用户的所有违规。 |
x光- 7616 |
修正了一个问题,即使用导出数据选项导出x射线数据有一个缓慢的性能。 |
x光- 8498 |
修复了在Windows环境下使用绝对路径时,使用按需二进制扫描功能扫描工件不工作的问题。 |
3.34 x光
本节包括所有的Xray 3.34版本。
x光3.34.1
上映时间:2021年10月14日
突出了
新的REST API扫描状态
您现在可以使用new工具检查包、构建和发布包的扫描状态扫描状态REST API.
解决问题
此版本包含已解决的漏洞。要了解更多信息,点击这里.
| JIRA | 描述 |
|---|---|
x光- 8413 |
修复了在SaaS中根据前缀而不是后缀进行匹配时漏洞检测不准确的问题。 |
x光- 8399 |
修复了不支持在RabbitMQ密码中使用特殊字符的问题。 |
x光- 7986 |
修正了一个问题,即违规和漏洞报告没有为CVSS V3得分的违规生成严重违规数据。 |
x光- 7624 |
修复了一个问题,即创建一个手表失败,当手表包含多个规则的策略都与阻止下载动作。 |
x光- 8260 |
修正了当security选项卡中存在许多安全违规且列表跨越1页时,列表排序不正确的问题,有时会导致列表中重复或遗漏安全违规。 |
x光- 8288 |
出于安全原因,Xray现在不再允许用户类型为匿名的身份验证。 |
3.33 x光
本节包括所有的Xray 3.33版本。
x光3.33.5
上映时间:2021年10月6日
解决问题
- 修正了一个额外的工人被启动的问题,有时会导致x射线资源耗尽。
x光3.33.4
上映时间:2021年10月3日
解决问题
| JIRA | 描述 |
|---|---|
x光- 8431 |
修正了非管理员用户无法查看或编辑手表的问题。 |
x光- 7650 |
修正了在某些情况下扫描特定存档文件失败的问题。 |
x光3.33.3
上映时间:2021年9月30日
此版本中的新特性在Artifactory版本7.27.3及更高版本中可用。
突出了
JFrog安全CVE研究与充实
Xray与Vdoo的集成引入了JFrog安全CVE的研究与充实,提供额外的CVE细节的新功能J青蛙安全研究团队,这由执行手动操作的安全专家组成并提出了一种新的JFrog严重性评分以及深入的技术概述让你更好地了解cve带来的实际风险。
与Jira的x射线集成
Xray现在可以与Atlassian的Jira软件集成,根据Xray识别的安全威胁和违规行为自动创建Jira票。要了解更多信息,请参见Xray Jira集成.
解决问题
| JIRA | 描述 |
|---|---|
x光- 8303 |
修复了一个问题,即在某些情况下,违规的严重程度在按需二进制扫描和依赖项扫描(都可以通过JFrog CLI获得)与x线片给出的严重程度不同。 |
x光- 8278 |
改进了未知许可证分类,不包括Docker层、清单和构建,以避免误报。 |
x光- 8215 |
修正了一个问题,即删除手表的违规行为仍然显示在x射线。 |
x光- 8163 |
修复了一个问题,即获取违规REST API默认情况下是按摘要排序的,这会导致一些性能问题。 |
x光- 8097 |
修复了当x射线数据库中缺少组件版本时未检测到许可证的问题。 |
x光- 8043 |
修复了一个问题,即按需二进制扫描和依赖项扫描(都可以通过JFrog CLI)不能正确返回自定义许可证。 |
x光- 8007 |
修正了在某些情况下,当在通用工件上导出x射线数据时,导出的文件(CSV/JSON/PDF)为空的问题。 |
x光- 7977 |
修正了为大型存储库生成违规报告耗时过长的问题。 |
x光- 7491 |
修复了一个问题,即在某些情况下,x射线系统的YAML文件内容被删除时,重新启动x射线。 |
x光- 7304 |
修正了一个问题,即当违反次数非常高时,返回Watch违规计数会导致数据库中的性能问题。 |
x光- 7167 |
修复了一个问题,即对于具有不同校验和但相同路径的Docker映像,Xray会返回映像以前的漏洞。 |
x光- 8378 |
修复了当相同的校验和与许多公共组件相关联时,数据库被影响分析消息过载的问题。 |
3.32 x光
本节包括所有的Xray 3.32版本。
x光3.32.2
上映时间:2021年9月1日
解决问题
- 修复了在某些情况下,使用Configurations REST API更新系统参数时会覆盖现有值的问题。
x光3.32.1
上映时间:2021年8月31日
功能增强
宽限期REST API支持
增加了一个新的参数来支持宽限期的特性创建政策REST API。
忽略规则REST API增强
您现在可以对获取忽略规则按项目的REST API。
解决问题
| JIRA | 描述 |
|---|---|
x光- 8042 |
修复了使用强制索引API重新索引Alpine存储库有时会导致错误的问题。 |
x光- 7665 |
修正了在某些情况下,当构建名称包含特殊字符时,构建的x射线状态不正确的问题。 |
x光- 7651 |
修正了当多个组件受到相同违规影响时,导出的违规报告只包含一个组件的详细信息,而其他组件则缺失的问题。 |
x光- 8240 |
修复了当相同的标签(例如latest)被新图像覆盖时,Docker图像有时在x射线中显示为未索引的问题。 |
x光- 8257 |
修正了在某些情况下,由于最新版本或发布包版本的新过滤器,观察违规页面需要一段时间才能加载的问题。 |
3.31 x光
本节包括所有的Xray 3.31版本。
x光3.31.2
上映时间:2021年9月1日
解决问题
- 修正了在某些情况下,由于最新版本或发布包版本的新过滤器,观察违规页面需要一段时间才能加载的问题。
x光3.31.1
上映时间:2021年8月23日
突出了
设置构建失败前的宽限期
现在,您可以在策略中为构建失败设置宽限期,允许您在设置的时间段内,在存在违规的情况下阻止构建失败。有关更多信息,请参见创建x射线策略和规则.
手表新滤镜
过滤手表列表中的手表页面在x射线缩小范围,只显示手表,是相关的你。有关更多信息,请参见配置x射线手表.
过滤忽略规则
使用一组不同的筛选选项,根据您选择的筛选条件缩小忽略规则列表的范围。有关更多信息,请参见无视规则.
上面提到的新功能需要Artifactory版本7.25。X或更高。
x射线报告克隆
中创建现有报表的克隆x光报告以重用报表及其定义的设置,从而节省重新创建经常使用的报表的时间。此功能需要Artifactory 7.23。X及以上。
热升级
你现在可以升级一个高可用性(HA)从3.31.0版本安装到更高版本,而不关闭所有辅助节点。您可以在零停机时间下完成Xray HA升级。
功能增强
增强的x射线依赖扫描和按需二进制扫描
x光依赖性和x射线按需二进制扫描现在包括忽略违规的选项。在每次扫描的JSON报告中,结果中包含一个忽略规则URL (JFrog平台中Xray的URL),使您能够为报告中的违规创建忽略规则,如所述无视规则.
解决问题
| JIRA | 描述 |
|---|---|
x光- 7394 |
修复了在某些情况下强制索引REST API失败的问题。 |
x光- 7322 |
修复了当包含大量已定义的监视和策略时,监视页面有时需要一段时间才能加载的问题。 |
x光- 6791 |
修复了一个问题,即扫描存储库中包含未标记为索引的构件的构建时,有时会返回不正确的结果。 |
x光- 8199 |
修正了一个问题,即在某些情况下,创建违规报告失败,由于缺少数据的一些违规。 |
x光- 8151 |
修复了当生成名称包含'/'字符时扫描生成失败的问题。 |
x光- 8071 |
修正了在某些情况下,删除手表不会删除相关违规行为的问题。 |
3.30 x光
本节包括所有的Xray 3.30版本。
x光3.30.2
上映时间:2021年8月18日
解决问题
| JIRA数量 | 描述 |
|---|---|
x光- 8213 |
修复了当生成名称包含'/'字符时扫描生成失败的问题。 |
x光3.30.1
上映时间:2021年8月15日
突出了
发布包细节REST API
添加了一个新的发布包详细信息REST API,返回在发布包中发现的许可证和安全违规。
解决问题
| JIRA | 描述 |
|---|---|
x光- 7839 |
修复了扫描构建REST API输出返回重复的受感染文件的问题。 |
x光- 7930 |
修复了扫描内部组件损坏的工件失败的问题。 |
x光- 7084 x光- 7737 |
修复了当在Postgres DB密码连接字符串中使用特殊字符时,有时会导致Xray失败的问题。 |
x光- 7791 |
修复了一个问题,即CVE数据没有显示在dom4j库的报告中。 |
3.29 x光
x光3.29.2
上映日期:2021年8月11日
解决问题
| JIRA数量 | 描述 |
|---|---|
x光- 7930 |
修复了扫描内部组件损坏的工件失败的问题。 |
x光- 8143 |
修复了当生成名称包含“”时扫描生成失败的问题/'字符。 |
x光- 8139 |
修正了在某些情况下,Docker映像强制重新索引导致Xray失败的问题。 |
x光3.29.0
上映时间:2021年7月21日
突出了
依赖扫描
的x射线依赖扫描特性使您能够扫描源代码依赖项以查找安全漏洞和许可证违规,并能够根据您的x射线策略进行扫描。可以使用JFrog CLI.使用一个简单的命令行工具,您可以扫描本地文件系统上的源代码目录,从而在开发过程中提供快速和早期的扫描。
按需二进制扫描
x射线现在提供按需二进制扫描来满足您的需求JFrog CLI为了快速的结果。现在,您可以指向本地文件系统中的二进制文件,并在将二进制文件或构建文件上传到Artifactory之前收到一份报告,其中包含该二进制文件的漏洞、许可和策略违规列表。
新的扫描功能需要JFrog CLI 2.1.0版本。
功能增强
额外的REST API项目支持
为了进一步支持Xray中的项目,在Xray REST api中添加了以下内容:
- 添加了在项目中扫描生成的功能Scan构建REST API.
- 添加了在导出/导入监视、策略和忽略规则时的项目范围支持导入/导出REST API。
解决问题
| JIRA数量 | 描述 |
|---|---|
x光- 7956 |
修正了一个问题,即在某些情况下,循环依赖会导致扫描期间分析中的堆栈溢出。 |
x光- 7942 |
修复了一个问题,即工件摘要API有时会为推送到多个位置的Docker映像返回空结果,并且这些位置被删除。 |
x光- 7803 |
修复了一个问题,即,数据库同步被卡住,由于数据库重新启动。 |
x光- 7604 |
修复了当在策略中启用Notify Deployer选项时不会为构建发送电子邮件通知的问题。 |
x光- 5960 |
修复了当使用Import API导入x射线配置时,远程存储库未在watch中分配为索引资源的问题。2022世界杯阿根廷预选赛赛程 |
x光- 7944 |
修正了一个没有引用的许可证被检测为未知许可证的问题。 |
x光- 7049 |
修复了在某些情况下,由于RabbitMQ失败而导致索引构建或存储库失败的问题。 |
x光- 8019 |
修复了在Xray DB中非公共模式的罕见情况下Xray升级失败的问题。 |
3.27 x光
本节包括所有的Xray 3.27版本。
x光3.27.4
上映时间:2021年7月13日
解决问题
| JIRA数量 | 描述 |
|---|---|
x光- 7694 |
修复了在x射线安全选项卡中按严重性排序不能正常工作的问题。 |
x光- 7984 |
修复了x射线试用许可证从3.27.x版本失败的问题。 |
x光3.27.3
上映时间:2021年7月12日
功能增强
运行状况检查就绪情况新配置
中使用以下新配置参数配置运行状况检查准备情况特性x射线系统.
shared.probes.readiness.samplers.database.enabledshared.probes.readiness.samplers.rabbitmq.enabled- 年代
hared.probes.readiness.samplers.centraldb.enabled(云) shared.probes.readiness.samplers.indexerDataFolderDiskUsage.enabledshared.probes.readiness.samplers.indexerDataFolderDiskUsage.threshold
x光3.27.2
上映时间:2021年6月30日
此版本中引入的新特性需要Artifactory版本7.21.3及以上版本。
突出了
项目中的新安全经理角色
一个安全管理器可以执行与安全相关的项目操作,例如管理x射线数据、管理报告、管理监视和策略,以及忽略全局违规。
生成项目范围的x射线报告
现在可以生成全球x射线报告用于选定项目的所有报告类型在x射线。
对项目应用全局监视
现在可以申请了全球手表使您能够在选定的项目中设置规则和策略。
功能增强
新增DB同步指标
为了监视DB Sync状态,将新的DB Sync指标添加到开放的标准REST API和日志。
解决问题
| JIRA数量 | 描述 |
|---|---|
x光- 6970 |
修复了x射线检测到具有CDDL-1.1和GPL-2.0双重许可证的组件为未知许可证的问题。 |
x光- 6456 |
修复了一个问题,即当构建被推送到Artifactory后不久激活扫描构建时,两个进程可能并行运行,导致数据库错误和失败。 |
x光- 6152 |
修复了一个问题,即x射线服务器请求日志旋转没有存档在默认存档文件夹。 |
x光- 7461 |
修复了在某些情况下,旧子组件的一些漏洞会显示在x射线选项卡中的问题。 此修复在Artifactory版本7.21.2及以上版本中可用。 |
x光- 7312 |
修复了在不同的Maven组件中使用相同的属性时,Xray没有显示正确数据的问题。 |
x光- 6717 |
提高了REST API的性能。 |
x光- 7605 |
修正了x射线索引由于错误计算可用磁盘存储而失败的问题。 |
3.26 x光
本节包括所有的Xray 3.26版本。
x光3.26.1
上映时间:2021年6月10日
突出了
Xray的垃圾收集器(GC)功能使您能够避免Artifactory发送的删除/创建事件之间的竞争条件,主要是在移动工件和提升图像时。此特性默认情况下是活动的,并且可以在x射线系统deleteMode (gc”/“渴望”)参数。
您可以通过一组REST api来管理垃圾收集器,例如获取GC状态或强制运行GC。有关更多信息,请参见垃圾收集器(GC) REST api.
解决问题
| JIRA数量 | 描述 |
|---|---|
x光- 7634 |
修复了一个问题,即导出组件详细信息当你有相同的Docker图像与不同的标签时,REST API不能正常工作。 |
x光- 7587 |
修复了在某些情况下,强制重新索引后,扫描的构建或新索引的Docker映像不显示漏洞和违规的问题。 |
x光- 7316 |
修复了x射线无法扫描构建名称中包含“>”的构建的问题。 |
x光- 7030 |
修复了x射线在构建中包含特殊字符时无法发现和显示违规的问题,例如构建名称中的“/”“\”。 |
x光- 6682 |
修复了一个问题,即CI集成使用的x射线构建扫描结果中提供的URL没有指向x射线数据选项卡中的特定构建。 |
x光- 6405 |
修复了在某些情况下,使用REST API更新系统参数会导致删除的问题jsFilesBatch参数。 |
x光- 6153 |
修正了在某些情况下,在PDF、CSV和JSON格式的Xray数据选项卡安全导出中存在重复行的问题。 |
x光- 7613 |
修复了一个问题,即在某些情况下,Xray无法扫描包含Golang包的构建go.mod. |
x光- 7694 |
修复了在x射线安全选项卡中按严重性排序不能正常工作的问题。 |
x光- 7683 |
修正了从版本2升级Xray的问题。X到3。当XUC组件文件名大于255个字符时,x失败。 |
x光- 7559 |
修复了一个问题,即当在存储库中通过路径使用GetArtifactDependencyGraphREST API,它返回了不正确的结果。 |
3.25 x光
本节包括所有的Xray 3.25版本。
x光3.25.1
上映时间:2021年5月27日
功能增强
观察并报告项目的REST api增强
添加了对项目的支持在Watches V2 REST api和Reports REST api中为Build资源创建报告或监视。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。
| JIRA数量 | 描述 |
|---|---|
x光- 7570 |
修复了开放度量日志和度量REST API中的格式问题。 |
x光- 7496 |
修正了一个问题,即当构建失败时,扫描报告包括忽略的和活动的违规。构建扫描报告现在将只包括活动违规。 |
x光- 7482 |
修正了日志中一些太长的消息难以读取的问题。 |
x光- 7101 |
修复漏洞问题cve - 2020 - 28852. |
x光- 7585 |
修复了当包版本为发布候选版本时,x射线扫描Alpine包有时会导致误报信息的问题。 |
x光- 7586 |
修复了与Go的Xz包相关的安全漏洞。 |
x光- 7362 |
修复了x射线无法索引工件的问题. apk后缀。 |
3.24 x光
本节包括所有的Xray 3.24版本。
x光3.24.2
上映时间:2021年5月2日
突出了
Distroless扫描
x射线现在可以扫描了谷歌图像只包含您的应用程序及其运行时依赖项。
红帽漏洞扫描程序认证
JFrog x射线现在已经通过了认证红帽漏洞扫描程序认证.该认证承认Xray是红帽值得信赖的安全合作伙伴,使Xray能够提供一致和更准确的红帽产品和包处理,并报告漏洞,最大限度地减少误报和其他差异。hth华体会最新官方网站
功能增强
影响分析性能改进
提高了Impact Analysis性能,显著降低了数据库服务器CPU和I/O级别。
红帽软件包增强
改进了红帽包扫描,支持CPE匹配,增强了红帽漏洞检测。Xray还支持红帽模块,以便更好地扫描红帽操作系统软件包。
Go版本升级
带有Xray的Go版本已升级到1.16.1版本,解决了中描述的一些安全漏洞cve - 2021 - 27918.
PostgreSQL版本绑定
与PostgreSQL的x射线绑定已经更新为使用更新的PostgreSQL版本13.x
解决问题
| JIRA数量 | 描述 |
|---|---|
x光- 7347 |
修复漏洞问题cve - 2021 - 27918. |
x光- 6979 |
修复漏洞问题cve - 2020 - 26160. |
3.23 x光
上映日期:2021年4月22日
功能增强
REST API相关性能改进
改进了运行时的性能扫描构建API。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。
JIRA数量 |
描述 |
|---|---|
x光- 6123 |
修复了在某些情况下,数据库同步后会意外增加数据库大小的问题。 |
3.22 x光
本节包括所有的Xray 3.22版本。
x光3.22.1
上映时间:2021年4月7日
功能增强
限制索引器使用的存储空间
现在,您可以限制Indexer微服务在并发下载和提取工件期间使用的存储空间。这将确保使用的存储不会超过允许的磁盘使用量的默认80%。
要启用此功能,请设置server.enableVirtualStorageManager参数设置为truex射线系统文件。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。
| JIRA数量 | 描述 |
|---|---|
x光- 6998 |
修正了在手表上运行历史扫描时,工件扫描时间未更新的问题。 |
x光- 6940 |
修复了当在Docker容器内的同一目录中删除多个文件时,Xray有时会对删除的文件报告误报的问题。 |
x光- 6826 |
修复了一个UI配置停止邮件通知不能正常工作的问题。 |
x光- 6744 |
修复了在Maven红帽版本中生成误报安全违规的问题。 |
x光- 6439 |
修正了在监视通知电子邮件中提供的违规警报链接不正确的问题。 |
x光- 7349 |
修复了一个问题,即Red Hat为与alt-Linux相关的漏洞生成不正确的cpe,因此Xray报告误报。x光现在只匹配.el7aVersion后缀为.el7a版本。 |
3.21 x光
本节包括所有的Xray 3.21版本。
x光3.21.2
上映时间:2021年3月31日
此版本中引入的新特性需要Artifactory版本7.17.4及以上版本。
突出了
项目中的x射线
云:E企业|企业+自托管:企业|企业+
在JFrog项目范围内使用x射线功能。JFrog Projects是一个管理实体,用于托管您的资源(存储库、构建、发布包和管道),并将用户/组作为具2022世界杯阿根廷预选赛赛程有特定权利的成员相关联。将x射线任务卸载并委托给组织中的不同角色,例如将x射线安全管理功能分配给特定项目范围的项目管理员。有关更多信息,请参见项目.
x射线CVSS v3评分支持
x射线现在支持CVSS v3评分除了CVSS v2评分。这将确保Xray对漏洞的评分是最新的,并提供最新的普遍标准漏洞严重性评级。有关更多信息,请参见CVSS评分在x射线.
x射线柯南和C/ c++支持
x射线现在可以扫描部署到人工工厂的柯南包。Xray还可以扫描C/ c++依赖关系作为构建的一部分。有关更多信息,请参见Conan和C/ c++在Xray中的支持.
功能增强
x射线界面更改
JFrog平台中的x射线UI已经改变,以创建更好的x射线任务划分,以反映不同角色的不同任务。监视和策略的管理和创建已经转移到Administration模块,因为这些任务通常由管理员或具有特殊权限的用户执行。监视违规和报告在应用程序模块中。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。
| JIRA数量 | 描述 |
|---|---|
| x光- 7211 | 修复了一个问题,即impactPathsDao。RemoveImpactPathByIds向postgresql传递了太多参数。 |
| x光- 7299 | 修复了一个问题,即x射线分析日志包含太多的错误信息,当一个很长的许可证字符串被提取从一个文件期间驯鹿。 |
| x光- 7227 | 修复了一个问题,即扫描构建REST API返回漏洞并导致构建失败,然而,UI中的Xray data选项卡没有显示违规。 |
x光- 7193 |
修正了在某些情况下,当DB同步包含具有大量信息的漏洞时,Xray崩溃的问题。 |
x光- 6593 |
修正了以CSV格式导出数据产生的数据少于JSON格式的问题。 |
x光- 7257 |
修正了当用户的权限目标为空时,x射线会发出错误的问题。 |
3.18 x光
x光3.18.2
上映时间:2021年3月22日
解决问题
- 修正了在某些情况下,x射线在没有资源的情况下验证权限失败的问题。2022世界杯阿根廷预选赛赛程
x光3.18.1
上映时间:2021年3月8日
解决问题
- 修正了在某些情况下,当DB同步包含具有大量信息的漏洞时,Xray崩溃的问题。
x光3.18.0
上映时间:2021年3月2日
x射线版本3.18。x及以下版本与Artifactory版本7.17.4及以上版本不兼容。你需要升级到Xray 3.21.2。
功能增强
PostgreSQL版本支持
PostgreSQL 13通过了Xray 3的认证。X及以上。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。
| JIRA数量 | 描述 |
|---|---|
x光- 7048 |
修复了一个问题,即当影响分析更新影响大量工件时,x射线服务器服务可能会耗尽内存。 |
x光- 7068 |
修正了在某些情况下,由于运行时错误,Docker映像未被Xray索引的问题。 |
x光- 7006 |
修复了一个问题,即当一个新的许可证(从x射线全球数据库)被添加到一个组件(在DB同步期间),触发的影响分析过程是缓慢的。 |
x光- 6741 |
通过增加对LZMA压缩格式扫描的支持,改进了RPM包的索引 |
x光- 6188 |
修复了Xray以最大允许权限掩码创建新文件和目录的问题(777)。x射线现在将创建掩码为660的新文件和掩码为770的新目录。 |
| x光- 7058 | 修复了一个问题,即当有许多基于RedHat的Docker映像时,影响分析队列继续增长。 |
3.17 x光
本节包括所有的Xray 3.17版本。
x光3.17.4
上映时间:2021年2月17日
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。
| JIRA数量 | 描述 |
|---|---|
x光- 6921 |
修复了一个问题,即在Saas环境中,为空的对象发出错误package.json在NPM审计中。 |
x光- 7031 |
修复了导致大量磁盘访问的性能问题。 |
x光- 6515 |
修正了x射线错误地将CPL许可证检测为CPAL许可证的问题。 |
x光3.17.2
上映时间:2021年2月4日
突出了
REST API开放指标
增加了与x射线数据库同步时间相关的指标,以及扫描工件和组件的总数。有关更多信息,请参见开放的标准.
功能增强
Go版本升级
升级Go版本至1.15.7,修复安全漏洞。
报告中的影响路径数据
中查看影响路径数据尽职调查报告在获取尽职调查报告内容REST API、JSON和CSV输出。
扫描构建REST API权限
的扫描构建REST API不再需要Admin权限,只需要管理x射线元数据权限。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。
| JIRA数量 | 描述 |
|---|---|
x光- 6955 |
修复了在构建UI页面中,当构建号包含构建名称中的字符时,扫描构建时构建状态未显示为扫描的问题。 |
x光- 6795 |
修正了在某些情况下,数据库初始同步会意外暂停的问题。 |
x光- 6708 |
修正了当数据库服务器关闭或数据库发生故障时不会创建违规的问题。 |
x光- 6887 |
降低了受影响的风险cve - 2020 - 29652. |
x光- 6883 |
降低了受影响的风险cve - 2020 - 26160. |
x光- 6257 |
修复了索引工件时可能导致DOS或覆盖OS文件的安全问题。 |
x光- 6820 |
修复了一个特定组件或组件版本的忽略规则无法忽略多个源的违规的问题。 需要Artifactory版本7.15.0及以上。 |
x光- 6912 |
修正了一个问题,即通过在工件/监视屏幕中使用工件过滤器来忽略一个违反,并且工件存在于多个存储库/路径中并包含违反,该违反没有被忽略。 |
3.16 x光
上映时间:2021年1月21日
突出了
新的REST API恢复被忽略的违规
介绍了一个新的恢复被忽略的违规行为REST API,它允许您恢复由于定义的忽略规则而被忽略的违规。
功能增强
报告中的影响路径数据
您现在可以在JSON和CSV输出中查看漏洞和违规报告的影响路径数据。
用于REST API的基于时间的忽略规则过滤器
按过期日期对忽略规则进行筛选和排序获取忽略规则,例如将在特定日期之前或之后到期的基于时间的规则。您还可以按截止日期对忽略规则进行排序。
查看违规报告中“忽略的违规”
您可以在“违规报告”中查看被忽略的违规数据,包括可在REST接口中使用的忽略规则ID。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。
| JIRA数量 | 描述 |
|---|---|
x光- 6675 |
修正了报告进度显示不正确的百分比值的问题。 |
x光- 6802 |
将Go版本升级到1.15.6,以解决以前版本中的安全漏洞。 |
x光- 6855 |
修复了一个问题,即扫描基于Docker映像的构建,在某些情况下,超时失败。 |
x光- 6856 |
修正了在某些情况下从Xray 2迁移的问题。X到3。由于超时或内存异常,大型环境中的X失败。 |
3.15 x光
本节包括所有的Xray 3.15版本。
x光3.15.3
上映时间:2021年1月7日
功能增强
x射线违规和漏洞报告现在包括从红帽操作系统咨询委员会收到的关于严重程度的额外信息。该信息将包含在报告的CSV和JSON导出格式中。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。
| JIRA数量 | 描述 |
|---|---|
x光- 6793 |
修复了一个问题,即升级到x射线版本3.x后,x射线数据库磁盘空间显着增加。 |
x光- 6824 |
修正了在某些情况下,观察页面无法正确加载的问题。 |
x光3.15.1
上映时间:2020年12月30日
功能增强
分级改善
提高了性能x光数据选项卡。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。
| JIRA数量 | 描述 |
|---|---|
x光- 5560 |
修正了一个问题,即在某些情况下,分配自定义许可证失败,组件被分配一个未知的许可证。 |
x光- 3988 |
修正了微软自定义免费软件许可证不被Xray识别的问题。 |
x光- 6054 |
修复了一个问题,即在某些情况下,当扫描Debian/Ubuntu组件时,Xray报告所有受影响版本的漏洞。 |
x光- 6786 |
修复了一个问题,即如果一些Debian软件包首次作为独立软件包上传,则不会报告漏洞。 |
x光- 6776 |
修复了一个问题,即在SaaS环境中Xray关闭或重新启动后不会触发DB同步。 |
x光- 6780 |
修复了一个邮件通知发送两次的问题通知邮件和通知监视收件人日志含义选项在策略中配置了相同的电子邮件。 |
x光- 2560 |
修复了一个问题,即在某些情况下,Xray没有索引新文件,由于事件留在event_states数据库表。 |
x光- 6220 |
修复了Xray无法扫描使用PIP客户端安装在Docker映像中的Python包的问题。 |
x光- 602 |
修正了在某些情况下,构建扫描触发重复通知的问题。 |
3.14 x光
本节包括所有的Xray 3.14版本。
x光3.14.3
上映时间:2020年12月29日
解决问题
- 修复了一个问题,即升级到x射线版本3.x后,x射线数据库磁盘空间显着增加。
x光3.14.1
上映时间:2020年12月22日
功能增强
PostgreSQL驱动升级
升级PostgreSQL驱动到最新版本。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。
| JIRA数量 | 描述 |
|---|---|
x光- 6727 |
修正了在某些情况下,MDS更新队列中的错误无法正确处理并导致不必要重试的问题。 |
x光- 6711 |
修正了一个问题,即使用基本身份验证时存在内存泄漏。当您大量使用带有基本身份验证的Xray api时,很可能会发生这种情况。 |
x光- 3652 |
修复了一个问题,即x射线在OpenSUSE组件上检测假阳性漏洞。 |
x光- 5962 |
修复了一个问题,即由用户生成的访问令牌属于管理组,不能正常工作。 |
| x光- 6758 | 修正了x射线在分析某些工件文件结构时消耗高CPU和内存的问题。 |
x光- 6763 |
修正了一个问题,即x射线失败构建包含被忽略的违规。 |
x光- 6685 |
改进了在二进制文件中的多个组件上发生违规的情况的处理,并且忽略规则仅在这些组件的一个子集上设置。在修复之前,系统没有正确指示哪个组件上的违规被忽略,哪个组件没有被忽略。 |
3.13 x光
x光3.13.3
上映日期:2020年12月17日
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。
| x光- 6758 | 修正了x射线在分析某些工件文件结构时消耗高CPU和内存的问题。 |
x光- 6763 |
修复了一个问题,即扫描构建报告没有从被忽略的违规行为中清除。 |
x光3.13.0
上映时间:2020年12月8日
功能增强
忽略规则增强
基于时间的忽略规则
“基于时间的忽略规则”为“忽略规则”设置一个截止日期,在该截止日期内,该违规行为将被忽略,直到“忽略规则”失效为止。一旦该期限到期,忽略规则将被自动删除,如果再次发生违规,将不会被忽略。有关更多信息,请参见无视规则.此特性也通过REST API得到支持,如无视规则REST API。
被忽略的违规记录存储在数据库中
所有被忽略的违反现在都存储在DB中,这使您能够在工件、构建和发布包级别上查看所有被忽略的违反。
UI的改进
UI现在在不同的屏幕中提供了关于被忽略的冲突的更多信息,包括工件、构建和发布包的冲突列表。
要求人工7.12.0及以上
一些忽略规则的增强需要Artifactory 7.12.0及以上版本。Artifactory 7.12.0还没有发布,很快就会发布。
导出组件详细信息API增强
添加了include_ignored_violations参数导出组件详细信息RST API。这将返回每个匹配策略的忽略规则ID。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。
| JIRA数量 | 描述 |
|---|---|
x光- 5875 |
修复了向带有空存档包的包添加自定义许可失败的问题。 |
x光- 5816 |
修复了一个问题,即当一个漏洞的严重级别被更新,并由此创建了一个违规,Xray创建了一个新的违规,而不是更新现有的。 |
x光- 4575 |
修正了一个问题,即x射线无法索引损坏tar.gz归档文件。 |
x光- 4767 |
在流程需要组件图的许多情况下提高了性能。例如,从中央数据库更新处理漏洞。 |
x光- 6705 |
在某些情况下,在不需要更新数据库的情况下,提高了许可证分析过程的性能。 |
x光- 6607 |
修正了一个问题,即在某些情况下,x射线数据标签需要一段时间来加载。 |
3.12 x光
上映时间:2020年11月29日
功能增强
改进的索引器功能
通过改进工件的分类和复杂情况的识别,例如识别其他组件中的内部组件,增强了索引器功能。
这一改进解决了以下问题:XRAY-5380、XRAY-6032、XRAY-6023、XRAY-5601、XRAY-5200、XRAY-5022、XRAY-4551、XRAY-4540、XRAY-4505、XRAY-4081、XRAY-2167、XRAY-5355、XRAY-5448、XRAY-5786、XRAY-5694、XRAY-5534、XRAY-3716、XRAY-6583、XRAY-6441、XRAY-5449。
构建扫描改进
改进了构建扫描过程,让Xray只从Artifactory下载作为构建一部分的工件,Xray可以在其中扫描它们,从而节省资源和时间。2022世界杯阿根廷预选赛赛程
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。
| JIRA数量 | 描述 |
|---|---|
x光- 5550 |
修复了一个问题,即在从头开始安装Xray后,Xray需要5分钟才能获取平台代理和邮件配置,这导致Xray忽略此配置并在依赖此配置的任务中失败。 |
x光- 6419 |
修复了一个问题,即在某些情况下,Xray报告Debian/Ubuntu用户空间Debian软件包的内核漏洞。 |
x光- 6376 |
修复了当生成支持包的时间超过30秒时创建支持包不成功的问题。 |
x光- 6231 |
修正了违规摘要页面未显示与此违规相关的所有受感染组件的问题。 修复需要Artifactory 7.11.0及以上版本。 |
x光- 4124 |
修正了一个问题,即当为工件或构建导出违规时,组件数据缺少组件版本。 |
x光- 3472 |
修正了一个问题,即PostgreSQL真空配置不工作时,Xray是在HA设置。 |
x光- 6284 |
修复了一个存储的XSS(跨站脚本)漏洞。 |
x光- 6250 |
修正了在某些情况下,Xray无法同步安全配置以禁用匿名访问的问题。 |
x光- 6224 |
修正了更新监视API在选择所有构建时失败的问题。 |
x光- 6598 |
添加了一个选项来标记某些组件,以便在扫描期间重新评估,而不是重用以前的扫描结果。 |
x光- 6638 |
修正了在构建资源上定义的权限不起作用的问题。2022世界杯阿根廷预选赛赛程 |
x光- 6610 |
修复了一个问题,即在HA、SaaS或K8s环境中,如果每日DB同步进程中途停止,可能无法完成并导致DB负载。 |
3.11 x光
x光3.11.2
上映时间:2020年11月11日
这个版本的Xray取代了3.11和3.11.1。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。
| JIRA数量 | 描述 |
|---|---|
| x光- 6597 | 修复了一个问题,即当使用错误的凭据调用需要身份验证的x射线端点时,即使使用良好的凭据,连续的API调用也可能失败。 |
| x光- 6274 | 修复了重复更新元数据服务器事件造成内部系统冗余负载的问题,如RabbitMQ, PostgreSQL和MDS。 |
x光- 6591 |
修正了缺乏数据卫生有时会导致SQL注入的问题。 |
x光3.11.1
上映时间:2020年11月9日
解决问题
- 修复了一个问题,即x射线Docker撰写指向一个不正确的Docker注册表。
x光3.11.0
上映时间:2020年11月8日
避免升级到3.11和3.11.1
在版本3.11和3.11.1 (XRAY-6597)中发现了一个关键问题。此问题已在3.11.2版本中修复,我们建议直接升级到3.11.2。
突出了
违规的报告
介绍了新的违反报告,它为您提供有关所选范围中每个组件的安全性和许可证违规的信息。违规信息包括违规类型、受影响的工件和严重性等信息。
违规报告可在Artifactory版本7.10.6及以上版本中获得
功能增强
无视规则
增强了忽略规则特性的功能,包括在已定义的忽略规则上设置粒度的能力。所有忽略规则的功能都是通过REST API支持的。
要启用这些增强功能,需要Artifactory版本7.10.5(可用)或更高版本。
要了解更多信息,请参见无视规则.
x射线系统中的新连接参数
添加了对以下两个新参数的支持x射线系统:
- maxLifetimeSecs:在一个连接被回收并在其位置上建立另一个连接之前,允许连接处于活动状态的秒数。
- maxIdleSecs:连接在关闭之前可能处于空闲模式的秒数。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。
| JIRA数量 | 描述 |
|---|---|
x光- 6565 |
修复了一个包含冒号的构建号在x射线中无法扫描的问题。 |
x光- 6493 x光- 6517 |
修正了在某些情况下,数据库同步无法更新数据库行的问题。 |
x光- 6454 |
修正了Xray在某些情况下无法识别某些RPM包的许可证的问题。 |
x光- 6232 |
修正了影响分析有时会在错误情况下忽略消息的问题,这会导致一些信息丢失。 |
x光- 5291 |
修正了当有大量可用的构建时,Watch配置和报告定义中的构建选择非常缓慢的问题。 |
x光- 4323 |
修复了Xray由于代码中的竞争条件而无法向组件添加自定义许可的问题。 |
x光- 3412 |
修正了索引所有存储库有时在有大量存储库时失败的问题。 |
x光- 3104 |
修正了分析微服务由于恐慌错误而无法处理某些消息的问题。 |
x光- 6275 |
性能改进以减少数据库的负载。 |
x光- 6501 |
修正了一个问题,即在某些情况下,Xray错误地将RPM包分类为通用包。 |
| x光- 6265 | 修复了一个问题,即持续和分析进程在某些情况下崩溃,由于高内存消耗。 |
| x光- 6247 | 为报表中显示的行数添加了可配置的限制。每个报告的默认限制是100,000行。 |
X.509证书上已弃用的CommonName字段
禁用使用X.509证书上的CommonName字段作为主机名,当证书不包括主题备选名称时。
3.10 x光
本节包括所有的Xray 3.10版本。
x光3.10.3
上映时间:2020年10月22日
突出了
高山包支持在x射线
Xray现在扫描和索引您的Alpine库和Alpine包,包括递归分析,组件图集成,并提供详细的元数据信息。
功能增强
Python包文件格式支持
Xray现在支持内部的Python文件索引(PyPI). tar,. gz, .tgz,.whl,.egg文件格式。
支持*.tar归档中的PHP文件
Xray现在支持PHP文件* . tar档案。
新的元数据REST API
添加了一个新的重发工件元数据允许管理员将工件元数据重新发送到元数据服务器的REST API。
解决问题
已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。
| JIRA数量 | 描述 |
|---|---|
x光- 6196 |
修正了一个问题,即x射线没有根据他们的顺序处理策略中的规则。 |
x光- 6181 |
修复了一个问题,即现有指数选项对于RPM包不能正常工作。 |
x光- 6127 |
修正了一个问题,即如果PostgreSQL密码在x射线系统中没有正确转义YAML文件,它出现在x射线控制台日志中。 |
x光- 6076 |
修正了一个问题,即当从x射线版本2升级。X到3。当先前被x射线扫描的Docker层之一包含前缀为“fslayer”的“fslayer”时,数据迁移失败。tarsum.v1 + sha256:在码头工人家里manifest.json. |
x光- 5271 |
修正了一个问题,即当同一个手表有多个许可证策略时,并非所有许可证违规都被创建。 |
| x光- 6371 | 修正了当构建的工件包含许多引用时,扫描构建可能比平时花费更长的时间的问题。 |
| x光- 6418 | 修正了在某些极端情况下,消息可能导致x射线崩溃的问题。添加了一种机制来防止这些消息反复使x射线崩溃。 |
| x光- 6446 | 修正了在某些情况下,当构建应该失败时,扫描构建没有检测到任何违规的问题。 |
| x光- 6281 | 修复了当搜索X天的违规行为时,搜索返回所有违规行为的问题。 |
| x光- 6372 | 修复了具有相同docker映像的两个构建返回不同违规的问题。 |
| x光- 6417 | 修正了一个问题,因此,损坏某些小精灵文件导致索引器失败。 |
| x光- 6449 | 修复了在某些情况下,API/ x光/ ui / userIssues /细节由于处理时间过长,导致服务器错误。 |
x光- 6475 |
修正了一个问题,即在某些情况下,Xray启动一个完整的DB同步,即使它是不需要的。 |
3.9 x光
本节包括所有的Xray 3.9版本。
x光3.9.1
上映时间:2020年10月4日
突出了
尽职调查许可报告
介绍了新的尽职调查许可报告,它为您提供了组件和工件及其相关许可的列表。这使您能够检查并验证组件和工件是否符合许可要求。
数据库同步改进
将初始漏洞数据库同步提高了92%。在满足x射线系统最低要求的情况下,总时间减少到不到一个小时。
解决问题
- 修复了在某些情况下,Docker层后代不显示在UI中的问题。
- 修复了一个问题,即如果发现违规,如果启用了失败构建选项,则不会触发Webhooks。
- 改进了x射线请求日志格式,使其与JFrog平台标准保持一致。如果您有基于旧格式的自动化,请确保对其进行相应的更新。
- 在响应来自Xray IDE插件的请求时,改进了Xray的性能。
- 通过减少默认的空闲连接数改进了数据库连接池配置将数据库设置为较低的值5。系统YAML参数名称已被更改以支持此增强,但是,为了向后兼容,支持旧的参数名称。有关更多信息,请参见x射线系统.
弃用api
从Xray 3.9.1版本开始不支持以下api:
/ ui / api / v1 / x光/ api / v1 /项目/ < project_name > / / *
v1alpha1 /项目/ {projectsId} /出现
3.8 x光
x光3.8.8
上映时间:2020年9月26日
解决问题
- 修正了一个问题,即在某些情况下从Xray 2迁移。X到3.8.4-3.8.6可能失败。
- 修复了一个问题,即PostgreSQL二进制文件丢失并导致迁移到Xray 3。X失败。
x光3.8.7
上映时间:2020年9月25日
解决问题
- 修正了一个问题,即在某些情况下从Xray 2迁移。X到3.8.4-3.8.6可能失败。
x光3.8.6
上映时间:2020年9月16日
解决问题
- 修正了一个问题,即在某些情况下,从Xray 2迁移。x到x射线3。x失败了。
x光3.8.5
上映时间:2020年9月10日
解决问题
- 修正了从Xray 2迁移时的问题。x到x射线3。X,撞击路径记录正在复制。
- 修复了由于PostgreSQL依赖而导致在AWS实例中运行包装器脚本(RPM风格)时安装Xray失败的问题。
- 修复了一个问题,即升级到3.8后。x触发完整的DB同步,即使在不需要时也是如此。
x光3.8.3
上映时间:2020年9月8日
Xray 3.8.3作为云版本提供
Xray 3.8.3版本目前只提供云版本.对于On-Premise版本,3.8.3内容可以作为3.8.5版本的一部分获得。
功能增强
License检测改进
提高license检测性能和成功率,降低CPU利用率。
解决问题
- 修正了在某些情况下,查看或导出工件的许可证会导致PostgreSQL服务器故障的问题。
- 修复了一个问题,即在某些情况下,未检测到docker映像中的PyPI包许可证。
- 修复了一个问题,即当扫描具有类路径异常许可的GPL-2.0组件时,Xray将其识别为GPL-2.0
- 修复了一个问题,即在某些情况下RPM OS包在docker映像中使用错误的epoch进行索引。对于已经使用错误epoch进行索引的包,可以使用力重建索引API。
- 修复了一个问题,即当试图在漏洞或违规的影响路径图中钻取到内部组件时,会发出500错误。此问题仅影响Xray版本3.8.2的SaaS用户。
- 修复了一个问题,即Xray无法与Azure管理的PostgreSQL一起设置。向系统中添加了一个属性。以支持连接到外部管理的数据库,其中实际的数据库用户名可能与连接用户名不同。新属性是
shared.database.actualUsername.
x光3.8.2
上映时间:2020年8月23日
由于此版本中存在已知的错误,我们建议您升级到3.8.5版本。
功能增强
向索引配置API添加构建
一个新的将生成添加到索引配置Xray REST API中已经添加了API,它允许您添加新构建,只需将新构建名称提供给选择用于索引的构建列表。
存档安装程序改进
将Install as a service修改为在支持systemd的机器上使用systemd脚本。
PostgreSQL版本绑定
与PostgreSQL的x射线绑定已经更新为使用更新的PostgreSQL版本12.x
解决问题
- 改进了冲击分析处理的性能。
- 修复了一个问题,即在某些情况下,如果数据库在一段时间内不可用(例如数据库重新启动或故障转移),工件不会被正确索引和扫描。
- 修复了一个问题,即发布包仓库映射导致x射线扫描找不到文件。
- 修复了PHP composer中Artifactory和Xray的组件ID不一致的问题。这个不匹配被修正为总是匹配小写的供应商/包名。
- 修复了一个问题,即一个漏洞,在版本3.8.2之前的Xray web应用程序中,没有正确地限制访问许可证页面,这可能允许未经身份验证的用户获取有关服务器许可证的信息。
x光3.8.0
上映时间:2020年8月13日
突出了
漏洞报告
您现在可以创建和生成漏洞报告这为您提供了在工件、构建和发布包中发现的漏洞的可视化表示。通过设置特定的范围和高级过滤器来缩小您希望看到的数据范围,以显示您想要分析的确切数据。现在,一个新的报告页面是JFrog平台的一部分,您可以在其中创建、生成和对报告执行各种操作,并具有导出为PDF、JSON和CSV文件格式以供进一步分析的功能。漏洞报告还得到报告REST api.
此报表类型是第一个x光报告此版本中引入的特性。其他报表类型计划用于将来的版本,它们将为您提供进一步的功能。
管理报表用户角色
在用户权限中添加了一个新角色,允许用户创建、生成和管理中的新Reports特性用户和组.某些api也需要此角色,例如获取每个手表的组件列表和按CVE查找组件.
多许可证许可方法
新多许可证许可方法使您能够在策略级别上具有更大的灵活性,并配置更宽松的方法,允许至少具有一个许可的组件通过,而不会触发违规,即使某些许可是不允许的。
需要人工制作的专用功能
漏洞报告,管理报表用户角色,和多许可证许可方法所有功能都需要Artifactory版本7.7.0及以上的云,以及版本7.7.3及以上的on - prem。
系统度量信息API和日志
Xray已经增强以支持开放指标。新度量API已添加并返回开放度量格式.新的与度量相关的日志文件x光——{microservice} -metrics.log已添加到文件系统。
RabbitMQ升级
RabbitMQ已经升级到3.8.x版本。
功能增强
Go版本升级
带有Xray的Go版本已升级到1.14.6版本,解决了中描述的一些安全漏洞cve - 2020 - 15586.
PostgreSQL版本支持
Xray现在被认证可以在PostgreSQL版本11中运行。X和12 X。
解决问题
- 修复了u - extreme -1.1.1许可URL不正确的问题。
- 修复了一个问题,即在DB同步失败后,DB同步正在读取相同的错误包,而不是下载固定包。
- 修复了Debian操作系统的包被命名为“Source”而不是“Package”的问题。
- 修复了一个问题,即获取每个手表的组件列表API只需要管理员权限,防止非管理员用户调用此REST API.一个新的管理报告添加了用户角色以使您能够使用此API。
- 修复了一个问题,即通过CVE API查找组件没有为具有读权限的用户返回结果。一个新的管理报告添加了用户角色以使您能够使用此API。
- 修正了一个问题,即当发现违规时,Xray不会发送电子邮件通知给监视收件人。
- 修正了Alert worker消耗过多内存的问题。
- 修复了RPM docker镜像在无限循环的索引阶段卡住的问题。
RabbitMQ集群逻辑的改进。
3.6 x光
x光操作
上映时间:2020年7月9日
数据库同步已知问题
在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。要解决此问题,建议中止该进程并重试。要了解更多信息,请点击在这里.
解决问题
- 修正了从Xray 2迁移时的问题。X到3。时发生错误
changed_file字段值太长user_components_docker_layer_changed_files表格 - 修复了一个问题,即,当尝试升级x射线和
xrayConfig字段中包含特殊字符%,升级失败。
x光3.6.1
上映时间:2020年7月6日
数据库同步已知问题
在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。要解决此问题,建议中止该进程并重试。要了解更多信息,请点击在这里.
这个版本包含了3.6.0 Cloud版本的所有增强功能和已解决的问题,包括下面已解决的问题。
解决问题
- 修复了x射线在启用代理启动DB同步时崩溃的问题。
3.6.0
上映时间:2020年6月28日
数据库同步已知问题
在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。要解决此问题,建议中止该进程并重试。要了解更多信息,请点击在这里.
功能增强
计划后台任务
Xray现在提供了一种方法来调度DB同步后台任务Update DB Sync每日更新时间REST API。Xray在启动时选择随机时间从XUC获取每日更新。这个时间可以通过API配置,不需要重启。
扫描事件的优先级
Xray现在优先扫描新工件/构建/发布包,而不是源自历史扫描或完整存储库扫描的事件,并提供了使用配置工人数量REST API。需要Artifactory版本7.6及以上。
解决问题
- 修复了一个问题,即,a在获取bin管理器ID时,代码中忽略了n个错误,从而导致nil指针错误。
- 修复了当没有配置策略、监视和构建时扫描构建失败,并且发出不明确消息的问题。
- 修复了Xray REST api中
artifactory_id参数(或路径内)在Xray 2中是必需的。X,在3中不再需要。X和将被忽略。
3.5 x光
x光3.5.2
上映时间:2020年6月21日
数据库同步已知问题
在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。要解决此问题,建议中止该进程并重试。要了解更多信息,请点击在这里.
功能增强
人工连接管理
改进了Xray主动连接Artifactory的过程。以减少负载在人工和提高性能,所有HTTP客户端连接对Artifactory的并发连接数量有限。
存储库扫描改进
增强了存储库索引的过程。从索引存储库请求发起的工件的索引请求不再保存在Artifactory数据库中。这一改进减少了Artifactory中的网络和数据库负载。
解决问题
- 修正了PDF报告中没有显示CVE的问题。
- 修正了一个错误的问题,即由于不正确的RPM分布比较而对RPM包声明假阳性。
- 修正了一个问题,即x射线无法处理空
manifest.json文件,防止.wh需要删除的组件。 - 修复了一个问题,即更新构建索引配置REST API命令缺少响应消息。
- 修正了一个问题,即当x射线检测到无效或过期的许可证时,在调试级别而不是错误日志级别显示错误。
- 修正了加载手表时忽略规则加载缓慢的问题。
- 修正了一个问题,即从x射线2迁移。X到3。客户端SSL配置没有正确迁移。
- 修复了一个问题,即在高可用性集群中,重新加载配置缓存时发生错误。
3.4 x光
上映时间:2020年5月17日
数据库同步已知问题
在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。要解决此问题,建议中止该进程并重试。要了解更多信息,请点击在这里.
突出了
postgresql数据库的外部化
从Xray 3.4,你有更多的控制你的资源分配,你可以直接Xray使用外部PostgreSQL数据库在你的组织中使用。请记住,如果您指示Xray使用外部数据库,则您可以完全控制数据库,并全权负责维护和备份数据库以供Xray使用。
解决问题
- 改进了与Xray Update Center (XUC)初始DB同步的性能和时间。
- 修复了一个问题,即在许多情况下,当Docker远程存储库配置了块下载块未扫描工件设置时,Docker pull不能正常工作。
- 修正了影响分析过程由于堆栈溢出错误而无法正常工作的问题。
- 修复了由于多个受感染工件导致内存不足而导致影响分析停止运行的问题。
- 修正了一个问题,即x射线停止工作时索引RPM文件由于高内存消耗导致内存不足的问题。
- 修复了当工作数大于连接数时发生连接死锁的问题。
- 修正了一个手表的历史扫描会触发所有手表扫描的问题。
- 修正了一个问题,即在某些罕见的情况下,Artifactory将断开从x射线在定期许可证检查。
- 修正了在x射线中导出数据时,不同文件格式显示结果不一致的问题。
JSON,PDF,CSV在“?”中没有显示CVEPDF和CSV文件。 - 修复了一个问题,即从Xray 2.0迁移到Xray 3.0后,存储的消息在迁移期间不能正确传递,并且在Xray 3.0中重试消息不能正常工作。
- 修复了由于字符限制而导致组件持久化无法工作的问题。
- 修正了在索引时发出无效内存地址或nil指针错误的问题去包在x光。
- 修复了一个问题,即工件摘要Rest API为不包含的组件返回问题响应
ComponentID. - F修复了从数据库中获取所有手表会使数据库过载的问题。
- 修复了一个问题,即在安装时,初始x射线URL被不正确地定义为
/ x光路径。 - 修复了在某些情况下索引NuGet包时添加空许可证的问题。
- 修复了一些Python包在Xray中无法正确索引的问题。
3.3 x光
发布:2020年4月22日
数据库同步已知问题
在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。要解决此问题,建议中止该进程并重试。要了解更多信息,请点击在这里.
功能增强
强制现有组件Rest API的完整索引
新力重建索引Rest API命令允许您轻松地重新索引过去索引过的工件。如果您想重新扫描包含过去不支持但现在支持的包类型的工件,例如Go, Docker中的Python包或Alpine OS包,则此功能非常有用。
新增手动安装Linux归档文件
您现在可以使用Linux Archive安装程序来安装Xray,除了现有的选项之外,还可以对如何设置环境进行更多的控制。有关更多信息,请参见手动安装Linux归档文件.
新增专用策略REST API V.2命令
Xray现在支持策略命令REST API1节和2.V.2命令支持阻塞发布包,现在允许您通知Watch接收者和文件部署者。
解决问题
- 修复了一个问题,即所有在以前的Xray版本(Xray 1)中被弃用的伙伴关系集成。x和2.x),显示在UI的集成页面中。从3.3版开始,当升级到Xray 3时,不赞成的集成将自动删除。包括数据库中与已弃用的集成相关的所有漏洞。
- 修复了JSON安全报告中缺少CVE id的问题。
- 修复了在安全选项卡中按严重性排序组件漏洞时,所有漏洞都被标记为“高”严重性的问题。
- 修复了升级到Xray 3.2.0版本后,由于数据库迁移问题而无法启动Xray的问题。
- 修复了一个问题,即位于x射线数据|后代或祖先标签下的图形不显示Debian软件包。
- 修复了Gems包的影响分析无法正常运行的问题。
- 修复了当运行Get Policy REST API命令时,无论最小严重性定义为Low, Medium还是High,都会检索所有严重性的问题。
- 修复了DB同步没有对NuGet包执行影响分析的问题。
- 修复了一个问题,即配置带有Mime类型过滤器的Watch对。gz和。7z文件类型不起作用。
- 修复了在UI中无法将自定义问题分配给Debian软件包的问题。
- 改善了web加载监视和策略页面的性能。
- 运行Get Violations REST API命令从包含数百万条违规的数据库中检索特定手表的列表时,提高了性能。
- 改进了基于Distribution属性的Debian软件包漏洞检测,该属性是用户在Artifactory中部署Debian软件包到本地存储库时需要提供的。
- 修正了在更新包含以前在Artifactory中删除的存储库或构建的watch时产生错误的问题。存储库和构建现在在保存监视时自动删除。
- 修正了x射线服务器在NPM审计期间出现内存泄漏的问题。
- 修复了使用Xray运行NPM审计时的问题,这些漏洞是由Xray添加的,不可用链接到VulDB作为源。
- 修复了一个问题,即我们在扫描期间减少了PostgreSQL DB的负载。
- 修复了扫描Docker映像以查找可能受感染的JavaScript文件严重影响DB的问题。
- 修复了支持包返回的问题
request.logs不包括x射线日志。 - 在HA环境中使用数千个表运行Update Watch REST API v.2命令时,性能得到了改进。
- 修正了在更新包含以前在Artifactory中删除的存储库或构建的watch时产生错误的问题。存储库和构建现在在保存监视时自动删除。
3.2 x光
x光3.2.3
上映时间:2020年3月30日
数据库同步已知问题
在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。要解决此问题,建议中止该进程并重试。要了解更多信息,请点击在这里.
解决问题
- 修正了x射线在尝试分配x射线试用许可时无法连接到Artifactory的问题。
x光3.2.0
上映时间:2020年2月23日
数据库同步已知问题
在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。要解决此问题,建议中止该进程并重试。要了解更多信息,请点击在这里.
解决问题
- 修正了由于用户组件许可证重复导致内存不足而导致x射线分析失败的问题。
3.0 x光
上映时间:2020年1月12日
数据库同步已知问题
在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。要解决此问题,建议中止该进程并重试。要了解更多信息,请点击在这里.
突出了
JFrog平台
宣布推出新的JFrog平台,旨在为开发人员和管理员提供跨所有JFrog产品的无缝DevOps体验,支持以下主要功能:hth华体会最新官方网站
- 2022年世界杯预选赛赛程表通用包管理所有专业打包格式、构建工具和CI服务器。
- 安全性和合规性它完全集成到JFrog平台中,为您从代码到产品的管道提供完全信任。
- 大大简化了管理所有的配置都在一个地方。
- 完全信任你的管道从代码到产品。
- 无缝的DevOps体验从本地、云、混合或多云的选择。
JFrog平台的新功能
系统架构
Xray 3.0现在是JFrog平台部署(JPD)的一部分,JPD定义了所有JFrog产品共享的单个逻辑单元。hth华体会最新官方网站与JPD的x射线配对过程简化了,现在只需要URL和共享密钥(连接密钥)。了解更多>
x光system.yaml
这个版本引入了一个新的系统配置文件,允许在安装过程之前/之后在应用程序外部处理系统配置。了解更多>
安装与升级
Xray 3.0附带了一个新的安装程序,它会影响安装和升级程序。作为新安装程序的一部分,文件结构发生了变化,现在与其他JFrog产品保持一致。hth华体会最新官方网站当升级到JFrog平台时,x射线必须只连接到一个Artifactory实例.如果您有一个Xray实例连接到多个Artifactory实例,在升级Artifactory和Xray之前,您需要将您的Xray实例拆分为多个实例来支持此需求。详见此处.
其他增强功能:
- 新的Docker安装程序已经得到了改进,现在支持设置x射线容器和映像的uid/gid。
- 新的系统架构包括一个新的系统。Yaml配置,它提供了静默安装选项。
统一权限模型
此版本统一了所有JFrog产品权限,允许从一个统一的UI中更轻松地管理所有产品的权限。hth华体会最新官方网站通过统一权限模型,您可以创建一个适用于JFrog平台中安装的所有产品的单一权限目标。hth华体会最新官方网站由于产品在平台内是统hth华体会最新官方网站一的,因此您现在可以使用单个权限目标来控制所有产品的权限。了解更多>
统一用户界面
这个版本为整个JFrog平台(包括所有JFrog产品)引入了一个统一的新UI。hth华体会最新官方网站如果您正在使用Artifactory和其他JFrog产品,如JFrog Xray, JFrhth华体会最新官方网站og Distribution, JFrog Mission Control和JFrog Insights,您现在可以通过一个URL地址从单个UI中访问它们。x射线数据位于每个资源页面中,允许您快速查看扫描资源的状态-包,构建,工件或发布包。2022世界杯阿根廷预选赛赛程以查找Artifactory UI中的更改。了解更多>
日志记录
所有JFrog产品现hth华体会最新官方网站在都遵循标准化的日志记录格式和命名约定。了解更多>
功能增强
删除MongoDB数据库
不再需要Xray在统一平台之前使用的MongoDB数据库(数据迁移过程除外)。如果您要升级到新的JFrog平台,您的数据将自动迁移到PostgreSQL中升级过程.
发行包扫描
除了扫描存储库和构建,统一平台现在允许Xray 3.0扫描发布包的漏洞和许可证遵从性。现在,您可以通过在发布包上定义策略和监视来保护您的发布。违反策略可能会阻止发布包.
使用模式配置索引资源2022世界杯阿根廷预选赛赛程
现在在配置x射线索引资源时具有更大的灵活性2022世界杯阿根廷预选赛赛程通过为构建和发布包使用排除或包含模式。
使用模式配置监视范围
现在,您在配置Watch资源范围时具有更大的灵活性2022世界杯阿根廷预选赛赛程的通过名称或使用Exclude/Include模式。
专用的安全性和遵从性搜索经验
Xray 3.0引入了一个新的安全性和遵从性搜索,这是新的全球搜索经验在JFrog平台。您现在可以根据资源名称、CVE编号、许可证、严重级别和扫描日期范围搜索特定的漏洞和许可证遵从性信息。了解更多>
问题解决
- Xray现在收集Alpine组件和漏洞的“分支”信息。
- x射线现在在创建时显示被忽略的违例。
- x射线相关Docker基础映像的安全性改进。
- 修正了在某些情况下,组件中导出的x射线数据文件无法解压缩的问题。
x光3.0.13
上映时间:2020年2月17日
数据库同步已知问题
在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。要解决此问题,建议中止该进程并重试。要了解更多信息,请点击在这里.
解决问题
- 修正了加载和显示漏洞和违规数据延长的问题。
- 修正了将自定义问题分配给后代组件失败的问题。
- 修复了Go包索引不正确的问题。
- 修复了中止DB同步不会删除旧zip包的问题。
- 修正了在某些情况下检测到带有漏洞的包时不会触发违规的问题。
- 修复了x射线错误检测Debian软件包名称的问题。
