使用最新的JFrog产品?hth华体会最新官方网站
JFrog平台用户指南


跳到元数据的末尾
进入元数据的开始

概述

策略定义安全和许可证遵从行为规范。它们是通过应用于手表.策略是无上下文的,这意味着它只定义要执行什么,而不定义对什么执行。一个策略可以应用于许多手表。一个手表可能有多个策略分配给它。

策略使您能够创建一组规则,其中每个规则定义一个许可/安全条件,并根据您的需要提供一组相应的自动操作。

手表只定义要监视的资源的范围。2022世界杯阿根廷预选赛赛程您可以一次定义策略并将其分配给任意多个手表。

将你想要强制执行的行为与你想要强制执行的上下文分开,为你提供以下值:

  • 效率.通过一次配置策略并将其分配给多个手表,可以减少工作并节省时间。
  • 灵活性.配置多个具有附加功能的行为,例如安全规则的优先级。
  • 单独的问题.将权限委托给组织中的不同团队。与资源和过滤器相关的一切都在监视中,与安全性2022世界杯阿根廷预选赛赛程和许可证遵从性相关的一切都在策略中。用All Builds目标类型定义

了解更多

要了解如何在手表中处理策略,请点击这里

页面内容


创建和编辑策略

要创建新策略,单击new policy并完成字段。

的名字
此策略的逻辑名称。
类型

要创建的策略规则类型。

安全:允许您围绕安全漏洞创建一组规则。选择您希望Xray如何响应每个漏洞严重程度。

许可证:允许您围绕允许/禁止的许可证集创建一组规则。

描述
本政策的一般描述。
规则
规则搜索筛选器。
优先级
规则优先级。拖放规则,根据它们的优先级来放置它们。
规则名称
本政策所附规则。
标准
规则标准。如果满足条件,则执行此规则的自动操作,并将策略视为已处理(不再检查其他规则)。
自动操作
满足条件时要采取的行动。

编辑策略

通过将鼠标悬停在Policy表上并单击右侧的Edit图标,编辑现有的Policy。

对策略所做的编辑将自动应用于分配给该策略的所有手表。这将只对新扫描的工件生效。你可以手动在现有工件上应用监视

安全规则

安全规则允许您围绕安全漏洞创建一组规则。有两个可能的标准:

  1. 最小的严重性(Minor, Major, Critical, All): JFrog漏洞数据库中最小的安全漏洞严重程度。如果工件或构建包含具有所选严重性或更高级别的漏洞,则规则将满足条件,自动操作将被执行,策略将停止处理。
  2. CVSS分数(1-10):应用于规则的CVSS评分范围。这用于细粒度控制,而不是使用预定义的严重性。

要创建新的安全规则,请从类型下拉菜单中选择“Security”,然后单击“new Rule”。

规则名称
此规则的逻辑名称。
标准

扫描扫描工件时检查的一组安全条件。

自动操作

指定触发安全策略违规后要采取的操作。

许可规则

许可证规则允许您围绕许可证遵从性创建一组规则。有三个可能的标准:

  1. 允许许可:指定网管license白名单五月连接到组件。如果某个组件的OSS license不在指定的白名单中,则该规则满足条件,生成一条违规信息,自动执行动作,策略停止处理。
  2. 禁止许可:网管license黑名单可能不连接到组件。如果组件指定了任何OSS许可证,则规则将满足条件,将生成一个违规行为,将执行自动操作,并且策略将停止处理。
  3. 禁止使用未知许可证:无法确定license的组件需要的行为。如果发现具有未知许可证的组件,将触发违规。

要创建一个新的许可规则,从类型下拉菜单中选择“许可”,然后单击新规则。

规则名称
此规则的逻辑名称。
标准

在扫描扫描工件时检查的许可条件集。

自动操作
指定触发违反许可证策略后要采取的操作。

自动操作

动作决定对检测到的策略违反的自动响应。您可以在每个策略规则中定义一个或多个操作。行动包括以下内容:

  1. 生成违反(轻微、严重、严重):满足条件时产生的违规行为的严重程度。
  2. 通知电子邮件:此操作允许您指定电子邮件地址,当违规被触发时,x射线应该向其发送电子邮件消息。为此,您需要在Xray中配置一个邮件服务器。
  3. 通知手表的收件人:此动作允许您发送电子邮件给所有手表的收件人有关违规时触发。
  4. 通知部署人员:该操作允许您在触发违规时向部署组件的用户发送电子邮件。
  5. 触发Webhook:这个动作允许你指定你在Xray中配置的webhook,当一个违规被触发时应该被调用下面的d)。
  6. 块下载:此操作允许您指定应该阻止从Artifactory下载的工件。

    块下载
    设置时,Artifactory将阻止下载符合此手表的工件过滤器和严重性过滤器规范的工件。
    块未测量的
    设置时,Artifactory将阻止下载符合此手表的Artifact Filter规格,但尚未扫描的工件
  7. 失败的构建:此操作允许您指定,如果CI服务器请求扫描构建,而Watch触发了一个违规,Xray将响应一个指示,指示构建作业应该失败。
    此操作仅在Watch定义为构建作为目标类型。

    没有失败构建作业操作定义?

    如果x射线接收到扫描构建的请求,但没有带有失败的构建action定义后,x射线将始终响应一个指示,表示构建作业应该确实会失败,无论构建工件或依赖项是否被发现存在漏洞。

Webhook载荷

提供给任何触发webhook的有效负载是一个JSON对象,描述了以下格式的警报列表:

{"created": "< ISO8601中告警创建时间戳(yyyy-MM-dd'T'HH:mm:ss.SSSZ)>", "top_severity": "<告警>中任何问题的最严重级别","watch_name": "<手表的逻辑名称>","issues": [{"severity": "<问题级别>","type": "<问题类型>","provider": "<问题提供者>","created": "< ISO8601中问题创建时间戳(yyyy-MM-dd'T'HH:mm:ss.SSSZ)>", "summary": "<问题摘要>","description": "<问题描述>","impacted_artifacts": [{"name":"<伪影名称>","display_name": "<伪影显示名称>","path": "<伪影在Artifactory中的伪影路径>","pkg_type": "<包类型>","sha256": "<伪影SHA 256校验和>","sha1": "<伪影SHA 1校验和>","depth": <伪影在其层级中的深度>,"parent_sha": "<父伪影SHA 1校验和>","infected_files": [{"name": "<文件名>","path": "<文件路径>","sha256": "<文件SHA 256校验和>","depth": <文件层级中的深度>,"parent_sha": ""<文件的父SHA 1校验和>","display_name": "<文件的显示名>","pkg_type": "文件的包类型"}]}]}]}

下面展示了一个webhook的有效负载示例

{"created": "0001-01- 01t00:00:00: 00z ", "top_severity": "Critical", "watch_name": "no-Apache-2.0-builds", "issues": [{"severity": "Critical", "type": "security", "provider": "Custom", "created": "2018-03-12T19:12:06.702Z", "summary": "Custom -glassfish", "description": "Custom -glassfish", "impacted_artifacts": [{"name": "test", "display_name": "test:6639", "path": "artifactory-xray/builds/", "pkg_type": "Build", "sha256":“c9be3f74c49d2f3ea273de9c9e172ea99be696d995f31876d43185113bbe91bb”、“sha1”:“737145943754 ac99a678d366269dcafc205233ba”、“深度”:0,“parent_sha”:“c9be3f74c49d2f3ea273de9c9e172ea99be696d995f31876d43185113bbe91bb”、“infected_files”:[{“名称”:“ant-1.9.4.jar”、“路径”:“”,“sha256”:“649 ae0730251de07b8913f49286d46bba7b92d47c5f332610aa426c4f02161d8”、“深度”:0,“parent_sha”:“c9be3f74c49d2f3ea273de9c9e172ea99be696d995f31876d43185113bbe91bb”、“display_name”:“ant-1.9.4.jar”、“pkg_type”:"Generic"}, {"name": " aopalliancerepackaged -2.4.0-b09.jar", "path": "", "sha256": " a97667a617fa5d427c2e95ce6f3eab5cf2d21d00c69ad2a7524ff6d9a273de9c9e172ea99be696d995f31876d43185113bbe91bb ", "display_name": "org.glassfish.hk2.external: aopalliancerepackaged:2.4.0-b09", "pkg_type": "Maven"}]}]}, {"severity": "Critical", "type": "License", "summary": "Apache-2.0", "description": "Apache License 2.0", "impacted_artifacts": [{"name":"test", "display_name": "test:6639", "path": "artifactory-xray/builds/", "pkg_type": "Build", "sha256": "c9be3f74c49d2f3ea273de9c9e172ea99be696d995f31876d43185113bbe91bb", "sha1": " 737145943754ac99a678d36626dcafc205233ba ", "depth": 0, "parent_sha": " c9be3f74c49d2f33ea273de9c9e172ea99be696d995f31876d43185113bbe91bb ", "infected_files": [{"name": " at - 1.94 .jar", "path": "" sha256": "649ae0730251de07b8913f49286d46bba7b92d47c5f332610aa426c4f02161d8", "depth": 0, "parent_sha": "“c9be3f74c49d2f3ea273de9c9e172ea99be696d995f31876d43185113bbe91bb”、“display_name”:“ant-1.9.4.jar”、“pkg_type”:“通用”},{“名称”:“aopalliance-repackaged-2.4.0-b09.jar”、“路径”:“”,“sha256”:“a97667a617fa5d427c2e95ce6f3eab5cf2d21d00c69ad2a7524ff6d9a9144f58”、“深度”:0,“parent_sha”:“c9be3f74c49d2f3ea273de9c9e172ea99be696d995f31876d43185113bbe91bb”、“display_name”:“org.glassfish.hk2.external: aopalliance-repackaged: 2.4.0-b09”、“pkg_type”:“Maven " } ] } ] } ] }
  • 没有标签