使用最新的JFrog产品?hth华体会最新官方网站
JFrog平台用户指南
JFrog x射线x文档
要获取最新版本,请访问JFrog统一平台
的添加集成对话框显示您可以连接到的所有可用集成,并提供到的选项添加自定义集成.从显示的图标列表中选择希望连接到的提供程序,或者单击加号以添加自定义集成。
要连接到提供程序,请设置启用复选框,并输入以下参数:
- 的API密匙您从提供商处收到的
- 的测试网址您可以使用"测试”按钮。
- 的URLXray用来检查它正在扫描的组件是否已在提供商处注册。
阿卡
水的安全为容器化环境提供全面的安全解决方案。如果您有Aqua帐户,您可以启用此提要,输入您的Aqua API密钥,您的本地Aqua安装的URL和测试URL。
WhiteSource
WhiteSource为您的开源组件提供安全和许可证管理解决方案。如果您有WhiteSource的帐户,您可以启用此提要并输入WhiteSource API密钥、URL和测试URL。
黑鸭子
黑鸭子提供企业级解决方案,以自动化保护、管理和确保应用程序和容器中开放源码软件的许可遵从性的过程。如果您是Black Duck客户,您可以通过购买带有安全模块的标准Hub版本来启用此提要,输入提供的Black Duck API密钥、Black Duck安装的URL和测试URL,以便开始在Xray中使用Black Duck数据。
添加自定义集成
我除了开箱即用的集成之外,Xray还允许您创建自定义集成。这使您有机会添加来自您可能拥有帐户的不同提供程序的分析,甚至创建您自己的提供程序并显示诸如性能问题、已知缺陷或提供程序提供的任何其他信息等信息。
要启用这一点,您需要构建以下两个REST端点,并在Xray集成页面中配置它们。
构建集成端点
为了启用自定义集成,您需要构建并运行两个REST端点。
1.检查身份验证
请求指示所提供的api密钥是否有效。这个API应该由提要提供者公开。
请求头
apiKey:“some-api-key-which-is-unique-for-a-specific-customer”
获得/ api / checkauth
{"valid": true, "error": ""}
{"valid": false, "error": "用户api密钥无效"}
2.请求组件信息
这个API将允许Xray从提要提供者请求关于一个或多个组件的信息,每个组件由唯一的组件id标识。该API将由提要提供者实现。
请求
请求有效负载将包含Xray想要获取信息的组件的唯一标识符。
此外,Xray将为请求提供上下文,这可以是项目id或其他标识符。如果第三方服务允许其用户为每个项目定义策略,这将允许在这些策略的上下文中响应请求。例如,如果第三方服务允许为每个项目创建OSS许可证遵从策略,那么如果所查询的组件违反了策略,Xray可能会得到一个带有许可证漏洞的响应。
apiKey:“some-api-key-which-is-unique-for-a-specific-customer”
{"components": [{"component_id": "gav://ant:ant:1.6.5", "blobs": ["97282a3b066de4ee4c9409979737f3911f95ceab"]}], "context": "project_id"}
响应
{" components": [{"component_id": "gav://ant:ant:1.6.5", "licenses": ["Apache 2.0"], "provider": " feed provider", "vulnerabilities": [{" cve": "cve -2012-2098", "type": "security", "source_id": "报告问题的唯一id", "summary": "算法复杂度漏洞","description": " bzip2压缩流中排序算法中的算法复杂度漏洞","cvss_v2": "7.9", "url": "http://more.info", "publish_date":"2015-11-03T07:30:51.991+00:00", "参考资料":["http://archives.neohapsis.com/archives/bugtraq/2012-05/0130.html"]}]}]}
配置集成端点
要配置端点,请转到集成页面并单击自定义集成。
要添加和连接到自定义提供程序,请设置启用复选框,并输入以下参数:
- 的供应商名字
- 的API密匙您从提供商处收到的
- 的URLXray用来检查它正在扫描的组件是否已在提供商处注册。
URL应该指向请求组件信息REST端点 - 的测试网址您可以使用"测试”按钮。
测试URL应该指向检查身份验证REST端点 - 的图标的URL您可以选择为供应商显示
- 一个描述对于卖方