集成

阿卡

水的安全为容器化环境提供全面的安全解决方案。如果您有Aqua帐户，您可以启用此提要，输入您的Aqua API密钥，您的本地Aqua安装的URL和测试URL。

WhiteSource

黑鸭子

黑鸭子提供企业级解决方案，以自动化保护、管理和确保应用程序和容器中开放源码软件的许可遵从性的过程。如果您是Black Duck客户，您可以通过购买带有安全模块的标准Hub版本来启用此提要，输入提供的Black Duck API密钥、Black Duck安装的URL和测试URL，以便开始在Xray中使用Black Duck数据。

添加自定义集成

我除了开箱即用的集成之外，Xray还允许您创建自定义集成。这使您有机会添加来自您可能拥有帐户的不同提供程序的分析，甚至创建您自己的提供程序并显示诸如性能问题、已知缺陷或提供程序提供的任何其他信息等信息。

要启用这一点，您需要构建以下两个REST端点，并在Xray集成页面中配置它们。

构建集成端点

为了启用自定义集成，您需要构建并运行两个REST端点。

1.检查身份验证

请求指示所提供的api密钥是否有效。这个API应该由提要提供者公开。

请求头
apiKey:“some-api-key-which-is-unique-for-a-specific-customer”

获得/ api / checkauth

{"valid": true， "error": ""}

{"valid": false， "error": "用户api密钥无效"}

2.请求组件信息

这个API将允许Xray从提要提供者请求关于一个或多个组件的信息，每个组件由唯一的组件id标识。该API将由提要提供者实现。

请求

请求有效负载将包含Xray想要获取信息的组件的唯一标识符。
此外，Xray将为请求提供上下文，这可以是项目id或其他标识符。如果第三方服务允许其用户为每个项目定义策略，这将允许在这些策略的上下文中响应请求。例如，如果第三方服务允许为每个项目创建OSS许可证遵从策略，那么如果所查询的组件违反了策略，Xray可能会得到一个带有许可证漏洞的响应。

apiKey:“some-api-key-which-is-unique-for-a-specific-customer”

{"components": [{"component_id": "gav://ant:ant:1.6.5"， "blobs": ["97282a3b066de4ee4c9409979737f3911f95ceab"]}]， "context": "project_id"}

响应

{" components": [{"component_id": "gav://ant:ant:1.6.5"， "licenses": ["Apache 2.0"]， "provider": " feed provider"， "vulnerabilities": [{" cve": "cve -2012-2098"， "type": "security"， "source_id": "报告问题的唯一id"， "summary": "算法复杂度漏洞"，"description": " bzip2压缩流中排序算法中的算法复杂度漏洞"，"cvss_v2": "7.9"， "url": "http://more.info"， "publish_date":"2015-11-03T07:30:51.991+00:00"， "参考资料":["http://archives.neohapsis.com/archives/bugtraq/2012-05/0130.html"]}]}]}

配置集成端点

要配置端点，请转到集成页面并单击自定义集成。

要添加和连接到自定义提供程序，请设置启用复选框，并输入以下参数:

• 的供应商名字
• 的API密匙您从提供商处收到的
• 的URLXray用来检查它正在扫描的组件是否已在提供商处注册。
  URL应该指向请求组件信息REST端点
• 的测试网址您可以使用"测试”按钮。
  测试URL应该指向检查身份验证REST端点
• 的图标的URL您可以选择为供应商显示
• 一个描述对于卖方