使用最新的JFrog产品?hth华体会最新官方网站
JFrog平台用户指南


跳到元数据的末尾
转到元数据开始

概述

本页面提供了JFrog Xray的发布说明,描述了每个版本发布时的主要修复和增强。

下载

点击下载最新版本x光

安装

有关安装说明,请参阅安装x光


x光2.16.0

发布日期:2020年8月2日

功能增强

去的版本升级

包含Xray的Go版本已升级到1.14.6版本,解决了部分安全漏洞cve - 2020 - 15586

影响分析的改进

在影响分析中介绍了性能改进和内存占用减少。

向索引配置API添加构建

一个新的将构建添加到索引配置API已被添加到Xray REST API中,它使您能够通过只向选择用于索引的构建列表提供新的构建名称来添加新的构建。

解决问题

  1. 修正了RPM docker映像卡在特定RPM包的索引阶段的问题
  2. RabbitMQ集群逻辑的改进。

x光2.16.1

发布日期:2020年8月16日

解决问题

  1. 改进了影响分析处理的性能。
  2. 修正了一个问题,在某些情况下,如果数据库在一段时间内不可用(例如数据库重新启动或故障转移),工件就不会被正确扫描。



x光2.16.2

发布日期:2020年8月31日

功能增强

许可证检测的改进

提高license检测性能和成功率,降低CPU使用率。

解决问题

  1. 修正了在某些情况下无法检测到docker映像中的PyPI包许可证的问题。
  2. 修正了一个问题,即当扫描带有类路径异常许可的GPL-2.0组件时,Xray将其识别为GPL-2.0。

x光2.16.4

发布日期:2020年9月16日

解决问题

  1. 修正了一个问题,即只有一个连接到RabbitMQ被断开,Xray无法恢复和正常工作与微服务队列。

x光2.16.6

发布日期:2020年10月11日

解决问题

  1. 修正了一个问题,在某些情况下,持久化和分析进程会因为高内存使用率而崩溃。
  2. 修正了强制索引Debian Docker容器时可能发生数据库连接泄漏的问题。

x光2.16.8

发布日期:2020年10月26日

解决问题

  1. 改进了某些场景下的影响分析性能。

x光2.16.10

发布日期:2020年10月29日

解决问题

已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在发行版中已修复的问题。

JIRA数量 描述

x光- 6465

当系统磁盘速度较慢时,提高了索引进程的性能。

x光- 6261

修正了一个问题,在某些情况下,x射线错误地将RPM包分类为通用包。

x光- 6494

修正了一个问题,在某些情况下,Xray无法检测到RPM包的许可证。

x光- 6467

改进的影响分析处理。

x光- 5937

修正了一个问题,即当构建名称比运行x射线的操作系统上允许的文件名长时,扫描构建在超时时失败。

x光- 6222

修正了一个问题,在某些情况下,持久化和分析进程由于高内存消耗而崩溃。

x光- 6266

修正了强制索引Debian Docker容器时可能发生数据库连接泄漏的问题。

x光- 6204

修正了一个问题,即当与RabbitMQ的一个连接断开时,Xray无法恢复并与微服务队列正常工作。

x光2.16.11

发布日期:2020年12月3日

解决问题

JIRA数量 描述

x光- 6683

修正了x射线无法索引大型围棋模块的问题。

x光- 6559

修正了一个问题,在某些情况下,管理权限页面没有响应,需要刷新页面。

x光2.16.13

发布日期:2020年12月31日

解决问题

JIRA数量 描述

x光- 6974

修正了Xray无法识别微软自定义免费软件许可证的问题。

x光2.16.14

上映时间:2021年2月4日

解决问题

  1. 修正了某些损坏的ELF文件导致索引器失败的问题。

x光2.16.15

上映日期:2021年5月3日

解决问题:

  1. 修正了在某些情况下,DB同步错误导致x射线崩溃的问题。

x光2.15.0

发布日期:2020年7月19日

解决问题

  1. 修正了一个问题,当发现违规时,Xray不会发送电子邮件通知监视收件人。
  2. 修正了IU-Extreme-1.1.1许可证URL不正确的问题。
  3. 修正了x射线错误分类Maven工件的问题。Xray现在提供了一个迁移过程来重新索引现有的分类错误的maven工件。
  4. 修正了Alert worker消耗过多内存的问题。

x光2.14.0

发布日期:2020年6月28日

解决问题

  1. 增强了索引进程的性能。
  2. 修正了在高可用性模式下,当x射线节点试图启动时,它会挂在初始化数据库表上的问题。
  3. 修正了在没有配置策略、监视和构建时扫描构建失败的问题。错误消息已更改为更清晰和指示性的。
  4. 修正了Azure DevOps Artifactory x射线扫描扩展返回x射线扫描结果的问题fail_build任何时候都是如此。错误消息已更改为更清晰和指示性的。

x光2.13.0

发布日期:2020年6月14日

解决问题

  1. 修正了一个问题,CVE不显示在UI中的x射线数据选项卡的组件选项卡中。
  2. 修正了一个问题,即由于不正确的RPM分布比较而导致RPM包声明为假阳性。
  3. 修正了x射线处理空失败的问题manifest.json防止文件.wh需要删除的组件。
  4. 修正了一个问题更新构建索引配置REST API命令缺少响应消息。

x光2.12.0

发布日期:2020年5月10日

解决问题

  1. 修正了一些Python包在x射线中索引不正确的问题。
  2. 修正了索引时发出无效内存地址或空指针错误的问题去包在x光。
  3. 修正了一个问题,在许多情况下,当Docker远程存储库配置为块下载块未扫描工件设置时,Docker拉无法正常工作。
  4. 修正了一个问题,当索引RPM文件时,x射线停止工作,因为高内存消耗导致内存不足的问题。
  5. 修复了一个问题,工件摘要Rest API为不包含ComponentID的组件返回一个问题响应。
  6. 修正了一个问题。wh文件组件。
  7. 修正了在x射线中导出数据时,在不同文件格式(JSON、PDF和CSV)下显示的结果不一致的问题,而在PDF和CSV文件中没有显示CVE。
  8. 修正了一个问题,在某些罕见的情况下,Artifactory会在定期许可证检查期间断开与Xray的连接。
  9. F修复了从数据库中获取所有手表时导致MongoDB过载的问题。
  10. 修正了抛出Bzip2错误消息,x射线停止扫描整个包的问题。
  11. 修正了在某些情况下索引NuGet包时添加空许可证的问题。
  12. 修正了一个由于字符限制而导致组件持久化无法工作的问题。
  13. 修正了当工作人员数量大于连接数量时连接死锁发生的问题。

x光2.12.1

发布日期:2020年5月24日

功能增强

改进了工件删除的性能。


x光2.11.0

发布日期:2019年12月2日

功能增强

导出和导入x射线设置

您可以使用一组专用的REST api导出Xray用户定义配置,以便导入到其他Xray实例。当跨多个环境(开发、测试、阶段和生产)复制设置时,或者当移动到单个x射线与Artifactory实例比率时,这主要是有用的。以下设置包括策略、监视、忽略规则、自定义许可证、自定义问题、webhook、邮件服务器、代理配置和索引资源设置。有关更多信息,请参见导出和导入配置设置部分。

改进的忽略违规功能

从x光2.11.0,忽略手表上的违规功能,以前是有限的,已经被增强,以执行一套完整的忽略违规相关的操作。无法检索在此版本之前创建的违规。此增强适用于此版本及以上版本设置的被忽略的违规。在UI中,您现在可以在手表上搜索被忽略的违规行为,查看被忽略规则视图的安全或许可证违规信息,恢复被忽略的违规行为,删除被忽略规则并恢复其先前关联的违规行为。方法可以检索所有被忽略的违规的列表会忽视违反

增加了支持包REST api

从这个版本,您可以轻松地创建支持包在Xray REST API中。

问题解决

  1. 使用“indexAllBuilds”系统属性设置要扫描的所有构建,将导致所有构建都可用,并且可以在Watch配置中的“选择构建”列表中进行选择。
  2. x射线索引过程支持特殊字符。
  3. 对映射Maven包LGPL许可证进行了改进。
  4. 影响分析在运行JXray更新后删除MongoDB中的不良license。
  5. 在Artifactory中,一个名为“构建”的存储库被x射线正确处理。
  6. 您可以在Xray中的“管理许可证”页面中删除自定义许可证类型。
  7. 使用“创建”过滤器在监视页面中过滤违规,返回正确的响应。
  8. Alpine的组件和漏洞是根据分支进行匹配的。
  9. 扫描生成不会因为警报队列过载而停止。
  10. 上传不同标签的同一张图片,扫描结果是相同的。
  11. x射线阻止目录列表。
  12. 改进了通过UI在手表上检索大量违规时的性能。
  13. 即使Postgres DB名称包含特殊字符,Xray也能成功连接到Postgres。

x光14

发布日期:2019年12月30日

问题解决

  1. 修正了在某些情况下,x射线无法扫描大型构建的问题。适用于Xray 2.11.0及以上版本。
  2. 修正了在某些情况下,通过REST API执行导出组件详细信息请求失败的问题。
  3. 针对HTTP响应的浏览器缓存现在已禁用,以符合JFrog安全最佳实践。
  4. 扫描Docker映像不会在遇到Conda包时卡住。
  5. 支持包就绪状态现在正确地显示在UI中的发布包页面中。
  6. 修正了在某些情况下,x射线无法索引7zip文件的问题。

x光2.11.4

发布日期:2020年2月17日

问题解决

  1. 修正了一些数据库查询导致性能不足的问题。
  2. 修正了一个问题,即重新启动x射线由于加载许可证到数据库而被延长。
  3. 修正了一个问题,x射线无法索引Docker图像与无效tar.gz格式
  4. 修正了x射线无法索引包含特定Python消光格式的Docker图像的问题。
  5. 修正了CVE搜索组件时无法正常工作的问题。
  6. 修正了一个问题manifest.json文件被作为Docker清单文件处理,导致索引失败。
  7. 修正了一个问题,即当部署到非docker存储库时,Xray无法索引包含以下字符的构建:a - z、a - z 0 - 9] *manifest.json文件的名字。

x光2.11.5

发布日期:2020年3月31日

功能增强

强制完全重新索引现有组件Rest API

力重建索引Rest API命令允许您轻松地重新索引过去索引的工件。如果您想重新扫描包含过去不支持但现在支持的包类型的工件,例如Docker或Alpine OS包中的Go、Python包,那么这是很有用的。

解决问题

  1. 修正了使用Xray运行NPM审计时的一个问题,漏洞是通过Xray添加的,无法链接到VulDB作为源。
  2. 修正了一个在扫描时减少PostgreSQL数据库负载的问题。
  3. 修正了x射线HA触发支持包不一致失败的问题。
  4. 修复了在扫描Docker映像时可能感染的JavaScript文件会严重影响MongoDB的问题。
  5. 改进了web加载手表和策略页面的性能。
  6. 修正了支持包返回的问题request.logsx光日志。
  7. 改进了在HA环境中对数千只手表运行Update Watch REST API v.2命令时的性能。
  8. 当运行Get违规REST API命令从包含数百万个违规的数据库中检索特定手表的列表时,改进了性能。
  9. 改进了Debian包漏洞检测的基础分布当将Debian包部署到Artifactory中的本地存储库时,用户需要提供的属性。
  10. 修正了在更新包含之前在Artifactory中删除的存储库或构建的手表时生成错误的问题。存储库和构建现在会在保存手表时自动删除。
  11. 修正了政策不考虑别名的问题。
  12. 修正了Xray服务器在NPM审核时发生内存泄漏的问题。

x光2.11.7

发布日期:2020年4月12日

问题解决
  • 改进了用于删除工件的JFrog Xray机制的性能。

x光2.11.8

发布日期:2020年4月16日

升级到2.11.8之前

发现以下已知问题:

  • 更新了操作系统包的Docker工件索引失败。

这个问题的修复在2.11.9中可用,因此我们建议直接升级到2.11.9。

解决问题
  • 当客户的多个不同组件包含相同的校验和时,提高了性能。

x光2.11.9

发布日期:2020年4月26日

解决问题

  1. 影响分析性能改进。
  2. 修正了Docker工件索引与更新的操作系统包失败的问题。只要有操作系统包(Debian/RPM/Alpine),就会出现此问题。在一个Docker层中更新或删除下一层。

x光2.10.0


发布日期:2019年10月3日

弃用的通知

从Xray 3.0开始,以下特性将被弃用或替换:

  • 第三方集成将被弃用,包括黑鸭、白源和Aqua。JFrog不保证集成在升级后仍能正常运行。自2019年2月以来,JFrog包括在内苏格兰皇家银行VulnDB作为其开箱即用的解决方案的一部分,它取代了对第三方集成的需求。
  • Artifactory x射线比率已经改变:你不能再连接JFrog x射线到多个JFrog Artifactory实例。现在需要x射线与Artifactory之间的1:1比例。
  • MongoDB Deprecated: MongoDB数据库已被PostgreSQL替换。数据迁移将作为升级过程的一部分应用。

功能正在建设中-即将推出!

以下特性在Xray 3.0版本中是不可用的:

  • x光报告:我们目前正在开发新的高级报告功能,现有的报告将不会在下一个主要的Xray版本中提供。您可以使用当前存在的替代方法导出相关数据。
  • x光日志我们目前正在UI中为JFrog日志开发一种新的表示方式。JFrog日志仍然可以通过REST API访问。与Artifactory不同的x射线日志将不会在下一个主要的x射线版本的UI中提供,但将很快添加。
  • x光组件视图:我们已经修改了组件在UI中的显示方式,组件页面将很快被替代搜索。

在升级到Xray 2.10之前

发现以下已知问题:

  1. 索引期间,大二进制文件导致内存不足。
  2. 在工件索引过程结束时,Indexer微服务的高内存使用量

在2.10.7版本中可以修复这些问题,因此我们建议直接升级到2.10.7。

突出了

去x射线包支持

Xray现在支持索引和扫描Go注册表,Go模块和Go包包括递归分析、组件图集成和提供详细的元数据信息。

Xray中的PHP编写器支持

Xray现在支持PHP包的索引和扫描包括递归分析、组件图集成和提供详细的元数据信息。

功能增强

电子邮件通知现在触发到更多的用户

Xray中的电子邮件通知功能已经扩展到包括那些部署组件而且看收件人关于刚刚发现的漏洞。

获取每个手表API的组件列表

获取每个手表的组件列表API命令允许您检索与手表相关的组件(工件和包)列表。Get命令将返回校验和、路径、存储库名称、工件/包名称和版本。

扩展的License识别能力

中的许可证名称手动分配别名2 .进入“license管理”界面在许可证拼写错误或添加错误的情况下,为Xray提供更大的灵活性来识别许可证类型。别名将从2.10.0版本开始扫描。如果向现有的许可证添加别名,已经扫描的组件将无法识别别名,因此需要重新索引相关的构件或存储库。

问题解决

  1. 改进的x射线中事件状态的管理方式。
  2. NuGet包名不区分大小写。
  3. 支持在CGo中提取7zip文件。
  4. 导出数据中安全问题的显示现在与UI中的显示保持一致。
  5. Xray将漏洞关联到WAR文件中的特定包类型,而不仅仅是npm包。

x光2.10.1

发布日期:2019年10月7日

在升级到Xray 2.10.1之前

发现以下已知问题:

  1. 索引期间,大二进制文件导致内存不足。

在2.10.7版本中可以修复这些问题,因此我们建议直接升级到2.10.7。

问题解决

1.在升级到Xray 2.10.0之后,Artifactory现在为Go包发送索引事件。
2.增强了Golang二进制依赖的许可证逻辑匹配。


x光2.10.4

发布日期:2019年10月24日

升级到Xray 2.10.4之前

发现以下已知问题:

  1. 对层进行更改后,Docker索引失败。

在2.10.7版本中可以修复这些问题,因此我们建议直接升级到2.10.7。

问题解决

  1. 修正了索引过程中大二进制文件导致内存不足的问题。


x光2.10.5

发布日期:2019年10月28日

在升级到Xray 2.10.5之前

发现以下已知问题:

  1. 在工件索引过程结束时,Indexer微服务的高内存使用量

在2.10.7版本中可以修复这些问题,因此我们建议直接升级到2.10.7。

问题解决

  1. 修正了Docker索引在对层进行更改后失败的问题。

x光2.10.7

2019年11月7日上映

问题解决

  1. 修正了在工件索引过程结束时Indexer微服务的高内存使用量的问题。
  2. 改进了用于大型环境的Xray更新策略REST API。
  3. 改进了x射线与Artifactory的许可证刷新机制。
页面内容


x光2.9.0

发布日期:2019年9月2日

功能增强

确保MongoDB在x射线上的TLS支持

中配置TLS支持,可以向Xray添加额外的加密层MongoDB

改进RabbitMQ集群

Xray支持完整的RabbitMQ集群,允许新节点连接到集群中的任何活动节点,消除了只连接一个活动主节点和is的限制在启用添加HA节点的安装流程

增强Python支持
  • Docker中扩展的Python包类型支持:作为我们支持Python社区努力的一部分,除了现有的Python包扩展名外,Xray现在还扫描Docker映像中的Python .py文件扩展名:Whl,。egg, tar.gz,。tgz。
  • 扫描整个Python版本:在支持为Python构建创建构建信息的JFrog CLI 1.28.0发行版之后,您现在可以扫描整个Python构建
增加了UI中的队列工作者范围

UI中的Queue Workers范围在大型系统中配置系统队列时提供了灵活性。

问题解决

  1. 安全映射正确地映射中度和次要问题。
  2. 创建或使用webhook不会在响应中显示密码。
  3. 在执行automatic npm audit fix命令时,由于格式问题,x射线审计修复失败。现在,npm审计修复程序成功运行。
  4. Xray SaaS用户现在可以查看许可证管理部分。
  5. 密码中支持包含特殊字符的密码xray_config.yaml文件。
  6. 支持在Docker安装过程中修改x射线端口。
  7. 的过滤器。当x射线重新启动时,json文件不会返回到默认设置。
  8. RabbitMQ现在是无主的,用户可以在HA安装过程中删除不活动的节点。
  9. DB同步进度条显示正确。



x光2.8.0

发布日期:2019年4月8日

功能增强

确保PostgreSQL和RabbitMQ在Xray上支持TLS

中配置TLS支持,可以向Xray添加额外的加密层RabbitMQ或PostgreSQL

增加了Ubuntu 16.04和18.04对非docker安装的支持

对于非docker安装,Xray可以在Ubuntu 16.04和18.04上运行。

问题解决

  1. 修正了在运行红帽和非红帽发行版之间的epoch比较时RPM会产生假阳性的问题。

  2. 修正了Docker索引在包含损坏文件时失败的问题。

  3. 修正了连接字符串包含特殊字符时加密失败的问题。

  4. 修正了一个问题普尔对某些Docker映像进行处理会导致Indexer抛出(“Slice out of bounds”)错误。

  5. 修正了在x射线上板期间设置验证器提供程序不会被应用的问题。

  6. 修正了无法将自签名证书添加到Xray Docker和Non-docker安装中的问题。

  7. 修正了由于npm 3.0.4组件不匹配导致Xray报告存在多个不正确的许可证的问题。

  8. 修正了在x射线请求日志中启用x - forward - for报头导致请求的问题看起来好像它们都是从负载均衡器的IP地址发送的。

  9. 修正了在Docker上运行Xray时处理RMQ/PSQL连接的问题,以确保无错误启动。

  10. 修正了call home函数在独立安装时无法工作的问题。

  11. 修正了在x射线中发现“AMQP明文认证安全”漏洞的问题。

  12. 修正了当访问不可用时,身份验证提供程序无法移动到另一个Artifactory的问题。

  13. 修正了由于损坏的blob导致索引失败时生成错误消息的问题。

已知的问题

Ubuntu 18.04支持

在这个版本中有一个已知的问题,Xray无法安装在Ubuntu 18.04上


x光2.8.2

上映时间:2019年5月13日

在升级到Xray 2.8.2之前

发现以下已知问题:

  1. NPM审计请求失败。
  2. 在DB迁移过程中,在根文件中检测到内存泄漏。
  3. 没有找到包,根文件迁移失败。
  4. 根文件迁移超时失败。

这些问题的修复在2.8.6版本中可用,因此我们建议升级到2.8.6。

功能增强

查找根组件

从Xray 2.8.2,Xray组件搜索默认设置为只在搜索结果中显示高级根组件列表基于部署到Artifactory的工件。您可以通过禁用此字段来选择查看整个层次结构。

问题解决

  1. 修正了一个问题在这里,作者和注释不显示,即使它们被添加到手表忽略规则。
  2. 修正了支持包页面显示不正确的状态摘要的问题。
  3. 修正了没有从所有HA x射线节点下载支持包的问题。
  4. 修正了在x射线启动时,由于PostgreSQL死锁导致分析无法启动的问题。
  5. 修正了RabbitMQ可能出现的连接泄漏问题。
  6. 修正了如果配置了身份验证提供程序,则无法更改x射线管理密码的问题。

x光2.8.3

发布日期:2019年5月15日

在升级到Xray 2.8.3之前

发现以下已知问题:

  1. 在DB迁移过程中,在根文件中检测到内存泄漏。
  2. 没有找到包,根文件迁移失败。
  3. 根文件迁移超时失败。

这些问题的修复在2.8.6版本中可用,因此我们建议升级到2.8.6。

问题解决

  1. 修正了适用于Xray 2.8.2的NPM审计请求失败的问题。

x光2.8.4

发布日期:2019年5月16日

在升级到Xray 2.8.4之前

发现以下已知问题:

  1. 没有找到包,根文件迁移失败。
  2. 根文件迁移超时失败。

这些问题的修复在2.8.6版本中可用,因此我们建议升级到2.8.6。

问题解决
  1. 修正了一个问题因此,在DB迁移过程中在根文件中检测到内存泄漏。

x光2.8.5

发布日期:2019年5月16日

在升级到Xray 2.8.5之前

发现以下已知问题:

  1. 根文件迁移超时失败。

这些问题的修复在2.8.6版本中可用,因此我们建议升级到2.8.6。

问题解决
  1. 固定的一个问题当没有找到包时,根文件迁移失败。

x光2.8.6

上映时间:2019年5月17日

问题解决
  1. 固定的一个问题根文件迁移由于超时问题而失败。

x光2.8.7


发布日期:2019年6月3日

问题解决
  1. 修正了在x射线上扫描有很多依赖的构建时RAM使用率高的问题。

x光2.8.8

发布日期:2019年6月24日

功能增强

Xray支持在IDE插件中显示固定版本

除了查看显示关于组件及其依赖项的漏洞信息的面板外,现在还可以在IDE插件中直接查看补救信息。

Maven工件的改进x射线分类

除了搜索文件夹中的POM和JAR文件外,Xray还将位于Maven根目录中的工件搜索并分类为Maven工件。

Xray已知license中增加多个license

Xray现在识别使用本地文件资源中的'And'操作符分组的多个许可证。

改进的MIT许可证检测

Xray通过在NuGet包中搜索'expression'变量增加了改进的MIT许可证检测。

Xray支持外部化PostgreSQL连接池

Xray具体化了“最大连接”和“最大空闲连接”PosgreSQL连接池。

问题解决

  1. 修正了x射线扫描和标记org。aist:为许可证未知的Maven包配置组件。
  2. 修正了Xray在npm包中扫描所有json文件作为许可证文件的问题。
  3. 修正了数据库更新在数据库同步期间没有进行而被跳过的问题。
  4. 修复了使用本地安装程序的用户无需凭据就可以连接到MongoDB的问题。
  5. 修正了x射线无法检测到大量Python .whl文件作为组件的问题。
  6. 修正了x射线在监控过程中触发错误通知的问题,提醒Kubernetes中的特定服务宕机。
  7. 修正了x射线无法索引某些JAR文件的问题。
  8. 修正了x射线跳过缺失的Docker层导致扫描结果损坏的问题。
  9. 修正了当用户名包含“@”符号时x射线无法连接到外部用户的问题。
  10. 修正了数据库同步卡住的问题而计算在SaaS。
  11. 修正了在收集支持包数据时在PSQL中运行查询失败的问题。
  12. 修复了一个图像,在这个图像中x射线会继续生成一个已修复的阿尔卑斯图像的违例。

x光2.8.9

发布日期:2019年6月30日

功能增强

增加了SSL证书CER文件支持

在这个版本中,新的安装不包括Docker安装,不要为MongoDB硬编码“密码”。相反,安装程序使用一个随机字符串来设置Xray密码,然后由Xray master.key加密。密码存储在/目录下文件夹作为文本文件,MongoDB_Admin_pass.txt.根据Xray的安装方式,它可能在本地用户的主目录中:~ / MongoDB_Admin_pass.txt

问题解决

  1. 修正了通过RabbitMQ进行缓存同步会导致HA模式出现问题的问题。


x光2.7.0

发布日期:2019年2月12日

功能增强

增加了SSL证书CER文件支持

从Xray 2.7开始,我们扩展了对SSL证书文件的支持,除了现有的对CRT、CRT和PEM文件的支持之外,还包括了CER文件。CER文件用于存储X.509证书。通常用于SSL认证,以验证和识别web服务器的安全性。CER文件可以是二进制格式(ASN.1 DER),也可以用包含头和脚的Base-64编码(PEM),并且可以被Windows识别。

RabbitMQ管理控制台禁用“Guest”登录脚本

Xray安装过程包括安装默认启用“Guest”用户的RabbitMQ管理控制台。在Xray 2.7中,您可以运行一个脚本来禁用RabbitMQ“客人”码头工人和Linux。

RabbitMQ 3.7支持

从Xray 2.7开始,RabbitMQ从3.6版本升级到3.7版本。

新的API命令

问题解决

  1. 修正了x射线无法解析构建名称中包含斜杠“/”的构建的问题。
  2. 修正了从x射线2.1升级时,手表“最低”级别被重置为“所有级别”的问题。
  3. 修正了如果“Admin”用户从Artifactory身份验证提供程序中删除,则无法加载x射线用户权限的问题。
  4. 修正了在保存无效的正则表达式文件时,x射线在验证时抛出错误的问题。从Xray 2.7开始,在保存过程中会拒绝无效的正则表达式文件。
  5. 修复了在某些场景下x射线扫描RPM OS包的问题。
  6. 修正了按严重程度运行组件搜索时不返回任何组件的问题。
  7. 修正了一个问题,导致改进的消息日志当数据库同步失败。
  8. 修正了x射线将支持包归档为zip文件而不是tar.gz文件的问题。
  9. 修正了设置手表搜索“所有存储库”失败的问题。

  10. 修正了手表在选择自定义日期范围的“应用于现有内容”时失败的问题。

  11. 修正了如果现有的Xray安装安装在“/data”文件夹下,Xray升级失败的问题。

  12. 修正了即使设置了“永久忽略”选项,仍然会出现一些违规的问题。

  13. 修正了如果在加载到Xray主页的过程中出现违规,导航到Admin选项卡失败的问题。

  14. 修复了运行Scan Build REST命令时,对多个条目共享相同校验和的文件返回错误路径的问题。

x光2.7.3

发布日期:2019年3月5日

问题解决

  1. 修正了构建崩溃和x射线扫描失败的问题当存储库扫描未启用时Artifactory



第2.7.4 x光

发布日期:2019年3月13日

问题解决

  1. 修正了数据库同步自动更新的问题。
  2. 改进搜索性能时过滤组件的最小严重性。


x光2.7.6

发布时间:2019年4月2日

问题解决

  1. 修正了x射线代理密码在x射线界面显示的问题。



x光2.6.0

发布日期:2018年12月31日

突出了

弃用通知- Snyk整合

从这个版本开始,与Snyk的内置集成已被弃用。由于Xray Global Database Server已经得到了增强,包含了基本Snyk集成提供的绝大多数漏洞,并具有相同或更好的详细级别,因此这对Xray漏洞扫描的影响应该很小,甚至没有影响。

扫描外部依赖

该版本将Xray的扫描功能扩展到外部(传递)依赖项。这意味着对于支持的包格式,当构建组件被扫描时,任何托管在外部源上的依赖关系(即不包含在构建工件中)也将被Xray扫描。这意味着为构建定义的任何监视和策略都将应用于内部构建工件和外部依赖项,并将相应地触发违规。

管理开放源码license和自定义license

JFrog x射线介绍管理许可证模块,该模块提供市场上可用的开放源码许可证的全面列表,并指示被扫描的每个组件使用了哪些许可证。通过这个新模块,您可以定义自定义许可证,并以与分配其他许可证相同的方式将它们分配给组件。

功能增强

出口组件细节

该版本扩展了Xray的导出功能用户界面或通过出口组件细节REST API端点。对于所有支持的包格式,您现在可以导出完整的组件详细信息(而不仅仅是导出许可证报告),包括违规、许可证和安全问题。

组件详细信息中的漏洞级别

在查看组件详细信息时,Xray现在会显示在其任何依赖项中检测到的最严重的漏洞。


x光2.6.2

2019年1月27日上映

问题解决

  1. 修正了一个问题,如果托管Artifactory实例被配置为Tomcat中的根应用程序,Xray将无法扫描Docker注册表。

  2. 修正了如果Docker注册表的名称包含在托管Artifactory实例的域名中,x射线将无法索引Docker注册表的问题。

  3. 修正了一个问题如果组件名称包含正斜杠(“/”)字符。


x光2.6.3

2019年1月30日上映

问题解决

  1. 修正了一个导致x射线崩溃的问题,如果它运行数据库同步同时进行存储库扫描或影响分析。
  2. 修正了在扫描过程中,x射线无法对某些版本格式中存在漏洞的组件进行排序的问题。
  3. 修正了x射线在对一个没有漏洞的环境执行DB同步时会发出许多警告的问题。

x光2.5.0

发布日期:2018年11月26日

突出了

加强保密措施

强化安全当提供加密数据(秘密),如连接到外部数据库的字符串时,从这个版本,当在Kubernetes上的Docker容器中运行Xray时,您可以在临时文件中提供秘密。Xray将在启动时加载文件中指定的参数,然后删除文件。

实时索引状态

为了更好地指示组件的扫描状态,添加了一个新的“Pending Scan”状态,以指示组件已添加到Artifactory并建立了索引,但尚未完成x射线扫描。

功能增强

忽略组件的所有问题

从这个版本开始,对于根组件,您现在可以选择忽略组件的所有违规

严重性报告方式的改进

漏洞严重性的处理方式通过以下几种方式得到增强:

命名:严重性名称现在符合CVSS v2标准,并报告为“低”,“中”或“高”。

信息严重程度:自定义问题现在可以被赋予“信息”的严重性。

问题解决

  1. 修复了类似maven的构件在被x射线索引后显示为通用组件的问题。
  2. 修正了在创建或编辑权限时,新创建的存储库不会显示为可用资源的问题。2022世界杯阿根廷预选赛赛程
  3. 修正了管理员用户无法编辑用户配置文件的问题。
  4. 修正了一个问题,即如果为Xray设置了身份验证提供程序,则无法休息内部Admin密码。方法重置密码更新用户REST API端点。
  5. 修正了CVSS v3分数不显示在违规细节弹出的问题。
  6. 修正了一个问题,其中x射线将继续试图连接到全球漏洞数据库,即使它被配置为离线同步的数据库。
  7. 修正了当Xray使用连接的Artifactory服务作为身份验证提供者时,Xray UI不会指示本地用户管理被阻塞的问题。
  8. 修正了如果x射线无法连接到已定义的代理或全局数据库,则无法保存配置更新的问题。
  9. 修正了x射线无法正确打开的问题更多细节在x射线链接x光选项卡用于Artifactory的Repository Browser中的组件。
  10. 修正了x射线无法通过代理连接Artifactory服务的问题。
  11. 修正了向组件添加多个自定义许可证后,无法删除许可证的问题。
  12. 修正了一个问题,当索引Docker图像与外部层,或图像与Artifactory缺少的层时,当索引失败时,x射线将不会在日志中提供有用的信息。
  13. 修正了一个问题获得令牌REST API端点将生成文本字符串而不是JSON对象。
  14. 修复了某些日志信息应该被显示为[ERROR]而被显示为[INFO]的问题。
  15. 修正了一个问题名过滤无法在Docker映像上工作
  16. 修复了将已连接的Artifactory服务设置为身份验证提供者、创建新权限、然后断开Xray-Artifactory连接后,在安装另一个Xray实例并将其连接到Artifactory服务后,无法创建同名的新权限的问题。

x光2.5.1

发布日期:2018年12月11日

问题解决

  1. 解决了一个问题当范围界限丢失时,在空指针异常上扫描失败。
  2. 解决了生成许可证指标导致服务器在空指针异常时崩溃的问题。
  3. 解决影响分析失败的问题由于Postgres死锁当尝试使用Prepare语句时。
  4. 解决了一个问题构建索引过程进入了一个无休止的循环,导致同一层文件在磁盘上重复重新生成。

x光测试盒框

发布日期:2018年10月10日

突出了

手表

为了提高检测违规行为的可用性和有效性,手表进行了重大修改。

每个手表有多个资源2022世界杯阿根廷预选赛赛程:您现在可以向一个监视添加多个资源,并包括任意数量的2022世界杯阿根廷预选赛赛程存储库或构建,同时指定一组单独的过滤器来应用于每个资源。在扫描工件时,Xray处理每个资源及其过滤器,然后再进行下一个。如果一个工件通过了所有过滤器,那么Xray将处理为Watch定义的策略,以确定应该采取什么操作(如果有的话)。

工件路径过滤器:现在您可以指定一个相对表达式来根据工件在存储库中的路径筛选它们。这是“名称”过滤器(以前称为“Regex”过滤器)的补充,它根据工件的名称过滤工件。

手表REST API:本版本引入了REST API的V2版本。目前,只有与watch相关的端点已经更新,以适应该版本中对watch的重大更改。请注意,REST API是向后兼容的,将继续支持V1端点,包括与旧版本Xray的watch相关的端点。

功能增强

高山包

x射线现在支持索引和扫描阿尔卑斯系统包包括递归分析、组件图集成和提供详细的元数据信息。

组件的细节

中的Locations选项卡的UI组件细节面板已经过改进,以便更清楚地指出可以在何处找到扫描组件的工件。

已知的问题

不支持GCP上的红帽6

此版本中存在一个已知的问题,即由于RHEL 6中缺少操作系统依赖,Xray无法安装在谷歌云平台(GCP)上的Red Hat 6机器上。

问题解决

  1. 修正了允许创建无效策略的问题cvss_range参数。
  2. 修复了CentOS安装程序在安装后显示不正确的版本号的问题。
  3. 修正了离线数据库同步中止时UI显示错误消息的问题。
  4. 修正了一个问题500内部服务器错误是由通过名称获取组件未找到组件时的REST API端点,而不是404没有找到错误。
  5. 修正了一个问题,即由于未知的许可证有时会生成一个违规,即使相应的手表将允许未知的许可证。
  6. 修正了如果组名包含空格字符,则组的权限不会应用到其用户的问题。
  7. 修正了不能将策略分配给使用创建政策REST API端点。
  8. 方法创建的新手表无法分配策略的问题创建表REST API端点。
  9. 修正了由于包含大量JavaScript文件的消息在索引期间有时会导致“内存不足”错误的问题。
  10. 修复了一个问题,当连接的Artifactory实例包含多个Docker图像,具有相同的校验和,但不同的标签,其中一个标签被删除,它仍然显示在x射线无效的位置。
  11. 修正了在索引过程中遇到EOF错误后索引Docker映像不会失败的问题。
  12. 修复了即使在连接字符串中提供了MongoDB数据库名称也会被忽略的问题。
  13. 修正了在扫描组件时,某些开源许可证会被错误地检测为不同的问题。例如,LGPL 2.1许可有时被检测为LGPL 3.0, CDDI有时被检测为CDDL-1.0等等。
  14. 修正了一个问题,即x射线报告的索引工件的数量有时大于存储库中托管的工件的总数。
  15. 修正了x射线无法识别包含破折号(“-”)字符的Docker图像标签的问题。
  16. 修正了使用Artifactory作为身份验证提供者时,如果用户被包含在名称中有多个空格的组中,Xray将无法对用户进行身份验证的问题。
  17. 修正了一个问题,在Docker上的手表图像包含一个属性过滤器将触发图像上的违规,即使它们不包含指定的属性。
  18. 修正了一个问题获取许可证报告组件REST API端点将为组件多次报告相同的监视。
  19. 修正了禁用SSL/TLS的问题邮件服务器配置使用UI是行不通的,除非mailNoSsl:真也在x光的配置文件
  20. 修复了RabbitMQ, PostgreSQL和MongoDB的默认凭证会显示的问题x光的配置文件在明文。这些凭据现在是加密的。
  21. 修正了用户名可以包含连字符的问题。

x光2.4.1

发布日期:2018年10月15日

问题解决

  1. 修正了x射线将严重漏洞报告为重大漏洞的问题。

  2. 修正了影响分析队列会被组件中空ZIP文件的消息淹没的问题。
  3. 修正了PostgreSQL查询在运行数小时后仍不终止的问题
  4. 修正了即使正确配置了邮件服务器,策略的“通知电子邮件”操作也无法工作的问题。
  5. 修正了添加到手表的构建资源会在手表显示中重复的问题。2022世界杯阿根廷预选赛赛程

x光2.4.2

发布日期:2018年10月25日

  1. 修正了在违规邮件中显示组件链接错误的问题。

x光2.4.6

2018年11月8日上映

问题解决

  1. 修复了无法创建复杂组件影响分析图的问题。

  2. 修正了x射线会忽略维护清理作业的调度参数的问题。

  3. 修正了在呈现组件细节时导致x射线挂起的问题。


x光tripwire

发布日期:2018年8月20日

突出了

原生HTTPS支持

Xray现在支持在您的web服务器上配置SSL管理模块HTTP的设置屏幕上。缺省情况下,配置中配置了HTTP端口。yaml文件,剩下的就是指定指向您的SSL密钥和SSL证书的路径。

自动组件许可证报告

组件许可证报告in Xray帮助您保持遵从性,并避免由于可能存在于您的构建或工件中的有问题的组件而违反法律。根据在x射线中生成的元数据,您可以为每个构建或工件生成许可证报告,该报告将列出直接或间接使用的所有OSS许可证。

x光支持区域

作为基于JFrog SLA支持的一部分,您现在可以生成一个信息包管理模块的支持区域屏幕上。在打开支持票证时,您可以附加信息包以加快处理您的问题。

增强
政策的公共api

JFrog Xray将其策略公开给任何可以访问其REST api的外部源。通过一组简单的REST API调用,您可以创建、删除、查看和为手表分配策略

7 z索引支持

7z压缩已添加到列表Artifactory已经支持的压缩技术包括Tar (Bz2、Gz、Z、infl、Xp3、xz)、Zip、rpm、deb、7zip。

问题解决

  1. 修正了临时文件无法找到和删除导致持久性失败的问题。
  2. 修正了索引器之后,巨大的RabbitMQ消息导致队列过载的问题,该问题已通过引入文件压缩解决。
  3. 修正了Persist从RabbitMQ获得“connection reset by peer”错误而不重新连接的问题。
  4. 修正了多个文件夹的问题Docker映像不会触发违规并向ci发送警报,同时保持构建集正常。
  5. 修正了ImpactAnalysis队列中的失败消息不显示在UI中且无法重试的问题。
  6. 修正了按属性运行手表过滤器不能过滤Docker图像的问题。
  7. 修正了当试用许可证过期时数据库同步停止的问题。
  8. 修正了一个包含特定构建名称的过滤器不会被触发的问题。


x光技术

2018年8月28日上映

问题解决

  1. 修正了一个问题手表REST API端点将无法工作。
  2. 修正了在Xray 2.3中引入的当Artifactory和Xray使用试用许可证激活时Xray无法运行的问题。
  3. 修正了影响分析在尝试更新已被索引但现在丢失的组件的许可证时有时会失败的问题。

2.3.2 x光

2018年9月2日上映

问题解决

  1. 修复了在Artifactory中使用Crowd作为Auth provider时重启Xray导致用户登录权限丢失的问题。
  2. 修正了执行升级后,admin用户没有权限的问题。

x光2.3.3

2018年9月26日上映

问题解决

  1. 减少JavaScript索引过程中的内存消耗。

x光2.2.0

2018年7月2日上映

突出了

政策

Xray引入了一个新的Policy实体,它执行安全而且许可证遵从性行为,这以前是Watch的一部分。在以前的版本中,监视包括被扫描的目标资源,如存储库和构建,以及安全性和许可证违反标准和要采取的行动。2022世界杯阿根廷预选赛赛程从这个版本开始,为了增强可管理性和维护性,将它们分离开来。

政策现在,您可以创建一组规则,其中每个规则定义一个许可/安全标准,并根据您的需要使用一组相应的自动操作。

手表现在只定义您想要监视的资源的范围。2022世界杯阿根廷预选赛赛程您可以只定义一次策略,并将其分配给任意数量的手表。

将你想要执行的行为从你想要执行它的环境中分离出来,你会得到以下值:

  • 效率.通过一次配置策略并将它们分配给多个手表,可以减少工作和节省时间。
  • 灵活性.使用附加功能配置多个行为,例如安全规则的优先级。
  • 单独的担忧.将权限委派给组织中的不同团队。与资源和过滤器相关的一切都在监视中,与安全和2022世界杯阿根廷预选赛赛程许可证遵从性相关的一切都在策略中。

功能增强

  1. Xray现在可以从许可证文件中将OSS许可证分类为已知的许可证类型。
  2. 增加了手动的能力调用对现有内容的扫描因此,刚刚定义的新手表可以立即应用,而不必等待扫描触发事件发生。
  3. 通用配置设置已得到增强,以提供对Xray不同参数的更多控制。
  4. 轻松地从x光组件模块直接到Artifactory中的任何组件。
  5. 警报现在已完全弃用。
  6. 增加了一个REST API端点获取和更新已建立或未建立扫描索引的存储库和构建的列表。
  7. 增加了一个REST API端点它根据一组搜索标准提供了一个违规列表。

x光2.2.1

2018年7月8日上映

问题解决

  1. 修正了构建中Docker图像的一些索引无法工作并抛出错误的问题。

2.2.2 x光

2018年7月16日上映

问题解决

  1. 修复了一个问题,当一个Xray安装有一个Artifactory实例设置为它的身份验证提供者,并且它从版本1.11.0升级到版本2.2.1时,Xray Admin用户最终没有任何权限。
  2. 修复了一个问题,即设置为身份验证提供者的Artifactory实例在从1.11.0及以下版本升级到2.0.0及以上版本后,无法成功地对Xray进行身份验证。
  3. 修正了一个问题,阻止Artifactory连接到x射线时,x射线的基础URL指定了一个尾随斜杠。
  4. 修正了阻止在Artifactory实例的Artifactory ID中使用大写字母作为Xray的身份验证提供者的问题

x光2.2.3

2018年7月17日上映

问题解决

  1. 修正了构建中Docker图像的一些索引无法工作并抛出错误的问题。

x光2.2.4

2018年7月22日上映

问题解决

  1. 修正了使用CI集成时的一个问题(如Jenkins),在某些情况下x射线响应会非常大,导致CI卡住。

x光魅惑

2018年5月17日上映

突出了

JFrog企业+

宣布新的企业+平台,它提供了一个完整的解决方案,涵盖了在多站点开发环境中创建安全、可靠和可跟踪的软件发布所涉及的所有步骤。

该解决方案与源版本控制、持续集成和部署工具一起工作。

JFrog企业+平台包包括:

  • JFrog Artifactory所有功能都可以通过企业许可证以及Access Federation和与Artifactory Edge一起工作的能力获得。
  • JFrog分布:一个内部的、集中的平台,允许您提供软件发布发布。
  • JFrog x光:在应用程序生命周期的任何阶段对二进制软件组件的通用分析,为组织中任何地方的组件中隐藏的问题提供前所未有的可见性。
  • JFrog任务控制:任务控制中的所有功能,新增:

    • 能够在系统中添加Jenkins-CI、JFrog Distribution和JFrog Artifactory Edge的实例作为服务并监视它们

    • 通过端到端构建过程的一组度量对构建过程进行洞察和分析

Ruby Gems和Python Wheels支持

从这个版本开始,Xray支持索引和扫描红宝石的宝石而且Python的轮子包。这种支持包括:

  • 递归分析和全成分图集成
  • 组件元数据,包括版本、许可证和校验和
  • 手动策划的安全漏洞
OAuth集成

除了SAML/LDAP身份验证功能(一旦选择身份验证提供者就会启用)之外,从2.1版本开始,Xray还集成了OAuth。这允许您将身份验证请求委托给外部提供者,并允许用户根据身份验证提供者中的OAuth配置,使用他们与这些提供者的帐户登录到Xray。

看违反搜索

你现在可以过滤手表违规使用新的搜索机制,根据文本,创建的日期,类型,严重性和CVE ID。

SSO支持

从2.1 x光,SSO支持它允许您使用存储在身份验证提供者Artifactory实例中的一组用户凭证登录到所有JFrog应用程序。当应用SSO时,用户使用一组预定义的凭据登录到JFrog产品,并被授予对JFrog产品的全面访问权。hth华体会最新官方网站SSO消除了每次访问产品时重新输入凭据的需要。

用户体验改进
  1. 监视和组件违规网格现在包括受感染的确切组件版本以及受影响的工件名称和版本。
  2. 现在可以单击违规影响分析视图中的组件,并将指向相关的组件详细信息。

问题解决

  1. 手表违规排序现在按预期工作

x光2.1.2

2018年6月13日上映

问题解决

  1. 修正了数据库离线同步无法成功完成的问题。从这个版本开始,离线数据库的同步需要JFrog CLI版本1.16.2或更高。

x光2.0.0

2018年4月16日上映

突出了

x光高可用性

JFrog Xray 2.0引入了一个高可用的双活集群架构,确保您的软件包持续的安全性和治理。

改进的性能和弹性

现在,您可以根据需要使用任意数量的节点来扩展Xray环境。这通过负载均衡器将所有工作负载委派到可用的集群节点上,从而增强了Xray的性能。

如果一个或多个节点不可用或关闭以进行升级,负载将在其余节点之间共享,以确保最佳的弹性和正常运行时间。

自动同步

Xray无缝地、即时地同步所有集群节点上的所有数据、配置、缓存对象和计划的作业更改。

加强监控

Xray的自我监视机制(它为您提供系统可用性问题)现在得到了增强,可以让您知道哪个节点受到了影响。
此外,Xray将在一个名为“高可用性”的新页面中提供集群健康信息,显示每个节点和每个微服务的健康信息。

简单的哈设置

Xray允许您在几分钟内轻松安装完整的HA集群,或升级现有的Xray环境。

功能增强

看违反视图

除了在组件详细信息视图中查看策略违反情况外,Xray UI还增强了新的违规视图它显示特定手表上下文中定义的所有违规。

x光自动升级

Xray现在可以通过“使用默认值”参数自动升级,消除任何手动脚本输入。该参数对新安装使用默认配置,对升级使用现有配置。

CVE组件搜索

Xray现在允许您搜索组织中受特定安全漏洞CVE id影响的组件。


x光2.0.1

2018年4月23日上映

问题解决

  1. 修正了在查看某些监视违规时,触发违规的组件名称不显示的问题
  2. 修正了阻止在云原生环境(如Kubernetes)上设置Xray HA的问题
  3. 修正了无法从Xray 1升级部分Docker安装的问题。到x射线2.x

x光2.0.2

2018年5月6日上映

问题解决

  1. 修复了多个与包含Docker映像的构建相关的问题

1.12 x光

2018年3月28日上映

突出了

改进与Artifactory的集成

JFrog Xray 1.12与JFrog Artifactory 5.10联合发布,在如何集成这两个互补的应用程序以提高可用性和稳定性方面做出了重大改变。

升级x光第一

对于JFrog Artifactory 5.10和JFrog Xray 1.12的联合发布,我们强烈建议首先将Xray安装升级到1.12版本,然后才升级Artifactory。

扫描状态

以前,工件的扫描状态通过使用一组属性(如索引状态、上次更新、顶部漏洞严重程度和块状态)注释工件来存储在Artifactory中。在这个版本中,这些属性将被删除。当工件在树浏览器中被选中时,Artifactory将根据需要获取工件的扫描状态。

这是一个突破性的变化,它限制了Artifactory和x射线版本的兼容性,如下表所示:


x光版本
1.12 + < 1.12


Artifactory
版本

5.10 +

(勾选)

由于Artifactory和Xray都进行了升级,新的集成功能完全符合设计。

(错误)

在这种组合中,集成将无法工作,因为Artifactory的新版本将查询Xray扫描状态,然而,旧版本的Xray没有所需的REST API端点。

< 5.10

(警告)

支持这种组合。Artifactory将继续显示每个工件的扫描状态,然而,它将使用先前使用属性的机制。

(勾选)

如果Artifactory和Xray都没有升级,集成将使用前面的机制工作,该机制将扫描状态显示为工件上的一组属性。

提高下载阻塞

从这个版本开始,从Artifactory中删除了下载阻止,而是在x射线中配置为手表上的“阻止下载”动作。这将创建一个更加直观和一致的工作流,使您能够完全控制在一个地方有冲突的Artifact上的所有操作。

更好的构建控制

以前,Artifactory中的所有构建都是用Xray索引的,这可能会导致视觉混乱,因为像快照这样不太重要的构建会被索引。从这个版本开始,Xray允许您选择要索引的构建,让您将分析重点放在更重要的构建过程上。

重新对构建应用索引

在升级到Xray 1.12的过程中,将从所有构建中清除索引。要重新应用索引,需要显式地将索引应用于您所选择的构建

组件驱动工作流:监视违规

以前,Xray以警报的形式提醒您注意漏洞。但是,由于警报可能会聚合多个问题,每个问题可能会影响多个工件和构建,因此很难理解影响特定组件的所有问题。继续Xray的演进到组件驱动的工作流,这个版本介绍看违反

监视违规将直接显示在组件的细节面板,便于识别影响组件的所有安全、许可和自定义问题。

支持附加包类型

从这个版本开始,Xray支持索引和扫描Gradle、Ivy和SBT包。



x光1.12.1

2018年4月2日上映

问题解决

这个补丁修复了1.12版本中发现的这些问题:

  1. 修正了当Artifactory版本低于5.10时,在远程存储库上创建手表时“块下载”操作无法工作的问题。
  2. 修正了在使用Artifactory版本低于5.10时,删除自定义问题不影响“块下载”动作的问题。
  3. 增加了通过配置参数自动索引x射线所有构建的能力。

1.11 x光

2018年2月18日上映

突出了

为组件分配OSS许可证

这个版本提供了这些高级功能开源软件许可证的功能

  • 为组件分配自定义许可证。
  • 查看原license的来源:custom、JFrog或本地文件。
  • 查看许可证是否直接分配给组件或传播用于父组件,是其许可证列表的一部分
失败的消息

x射线现在显示所有影响分析和伪影扫描失败在新的失败的消息页面,在Admin模块中。该页面为管理员提供了一个单独的位置,在这里他们可以轻松地确定扫描和影响分析x射线过程中失败的确切步骤,允许他们修复问题并重试该步骤。


1.10 x光

2018年1月2日上映

突出了

Grafeas API

项目Grafeas定义了一种开放的、统一的元数据交换格式和API,它将创建一种统一的、一致的方式来从软件组件中产生和使用元数据。通过完全支持Grafeas API, Xray充当Grafeas的门户,为您的软件供应链提供空前丰富的元数据,可以很容易地在自动化审计和治理过程中使用。Xray的这个版本公开了一组完全集成到Xray REST API中的Grafeas端点。

外化的数据库

Xray可以与许多第三方服务一起工作,例如各种数据库,这些数据库以前是预先安装在其他Xray微服务上的。从Xray 1.10开始,你可以对你的资源分配有更多的控制,你可以直接让Xray在你的组织中使用外部RabbitMQ, MongoDB或PostgreSQL数据库。请记住,如果您指示Xray使用外部数据库,那么您就可以完全控制该数据库,并完全负责维护和备份数据库以供Xray使用。

改进数据库同步

数据库同步得到了显著的改进,从而实现了更流畅的工作流、数据压缩和性能提升。增强的压缩和性能提高了暂态网络的稳定性和鲁棒性。根据硬件、网络和其他因素的不同,这可能会提高70%的性能。

扩展IDE集成

除了UI改进之外,除了现有的Maven包格式外,已经更新为支持扫描Gradle和npm包格式。

问题解决

  1. 改进了Alerts页面的性能。
  2. 修正了当关联的手表被删除时,忽略规则不会被获取的问题。
  3. 修正了一个事件微服务由于对构建项的属性搜索返回的校验和丢失而崩溃的问题。
  4. 修复了SHA256值相同的Docker映像被卡在分析重试队列中的问题。
  5. 修正了Xray API 'Update User'命令不更新用户并返回404错误的问题。

x光1.10.1

2018年1月4日上映

此版本包括集成和权限页面中的UI显示问题修复。


1.9 x光

2017年12月3日上映

突出了

通过外部提供者进行身份验证(LDAP、SAML、Crowd等)

通过添加通过企业LDAP/Crowd或SAML提供者对用户进行身份验证的能力,Xray中的用户管理得到了极大的简化。您所需要做的就是将一个连接的Artifactory实例定义为“身份验证提供者”。这使您可以将LDAP/Crowd、SAML和内部Artifactory用户和组从指定的Artifactory实例导入到Xray,然后根据需要为他们分配权限。

权限管理

该版本引入了一个灵活的权限模型,允许管理员细粒度地控制用户和组如何访问Xray的不同特性。“2022世界杯阿根廷预选赛赛程资源”定义了权限的范围,并指定了该权限应用到的连接Artifactory实例中的存储库和构建。然后,您可以指定用户和组(在Xray中内部定义或从连接的“身份验证提供者”导入),并为他们授予所选资源的特权。2022世界杯阿根廷预选赛赛程

功能增强

  1. 改进了大规模环境的索引和分析性能。

  2. 改进了Javascript文件的索引和分析过程。

  3. 改进了数据库进程,显著提高了某些递归查询的性能

问题解决

  1. 修正了Xray无法删除移动到RabbitMQ失败队列中的文件的问题。

  2. 修复了与在Docker映像中识别操作系统层及其安装包有关的几个问题。

  3. 修正了一个问题,该问题会导致RabbitMQ在大规模环境中通过加载大量消息而耗尽可用的RAM。


1.8 x光

2017年7月13日上映

突出了

内容驱动的工作流

Xray目前的工作流程是事件驱动使用无状态信息创建警报;构建和组件在某个时刻的快照。在这个版本中,我们增加了对新的、更直观的内容驱动工作流的支持的基础上显示问题组件你感兴趣的。这对你如何浏览到最相关的内容有很大的影响。高层流程可以总结为:

搜索组件→下钻→检查问题

增强的搜索:Xray现在提供了增强的搜索,允许您通过一组搜索过滤器(如包类型、问题严重性、版本等)搜索特定的组件。

丰富的组件显示:从搜索结果中,您可以选择您感兴趣的组件并查看一个丰富的显示,其中提供所选组件的所有版本的详细信息

检查问题:从组件显示中选择任何问题,将提供关于该问题的详细信息,以及它所影响的所有构件和构建的列表。

建议修复

除了提供受感染组件存在漏洞的全面版本列表外,内容驱动工作流中的富组件显示还指出漏洞已修复的版本(如果可用),并建议升级到该版本

IntelliJ IDEA插件

IntelliJ IDEA插件,您可以使用Xray扫描Maven项目依赖项并查看漏洞在开发期间直接从IntelliJ IDE。IDE集成支持将继续扩展到其他行业标准的IDE,以及其他包格式。

TeamCity的集成

JFrog x射线扩展它的CI / CD集成的支持TeamCity,使您可以扫描构建、生成报告,如果使用了具有已知漏洞的组件,甚至会导致构建作业失败。这是防止带有漏洞的构建进入生产系统的有效方法。

增强的脆弱性数据

基于改进的算法和启发式将来自不同来源的数据关联和匹配到正确的组件和版本,原始漏洞数据的处理得到了极大的增强。这个新的数据模型提供了更多、更准确的漏洞详细信息,如受感染的版本范围、修复版本等。它还允许更好地识别受感染的组件。在Maven组件的情况下,漏洞数据已经被完全替换,并在加载到数据库之前进行手动管理,从而获得更好的覆盖率和更少的误报。

注意,您需要执行数据库同步(无论您是在联机模式还是脱机模式下工作)才能使用增强的漏洞数据。

功能增强

改进的扫描性能

扫描新构建和工件的性能已经显著提高了多个数量级。由于这是Xray执行的最常见的过程,因此整体上Xray的响应性更强。特别是,Docker图像分析的性能和准确性得到了很大的提高。

在构建中支持Docker映像

现在可以像其他构建依赖项一样扫描和索引构建中的Docker映像。

问题解决

  1. 修正了x射线显示组件具有“未知”许可证的问题,即使特定的已知许可证已被识别出来。
  2. 修复了一个问题,即带有漏洞的npm依赖项即使在Artifactory中的托管库设置为阻止下载也会被下载。

x光1.8.0.1

2017年7月17日上映

问题解决

  1. 修正了升级Xray到新版本时可能导致数据库迁移缓慢的问题。

x光1.8.1

2017年7月31日上映

问题解决

  1. 修正了x射线的分析过程导致组件许可证数据被多次保存,潜在消耗大量内存和磁盘空间的问题。

  2. 修正了警报中的许可证问题没有影响路径的问题。

  3. SaaS用户现在将收到带有默认邮件服务器配置的电子邮件通知。


x光1.8.2

2017年8月3日上映

问题解决

  1. 问题及其状态包含在构建中的Docker映像中,现在可以正确传播。


x光1.8.3

2017年8月22日上映

功能增强

  1. x射线现在给你选择自定义位置为你的x光数据而且PostgreSQL安装或升级过程中的目录。
  2. Xray已经经历了系统范围的性能改进,这可以在几个屏幕上看到,包括组件问题在组件的细节,警报安全报告和更多。
  3. 查看组件详细信息时,可以根据组件显示的问题进行过滤总结字段。
  4. 报告模块在UI显示和性能方面进行了几次改进
问题解决
  1. 修正了一个问题所有警报选项卡中警报即使有警报,屏幕也会显示为空。


x光1.8.3.1

2017年8月24日上映

问题解决
  1. 修正了组件搜索中某些筛选器选择不返回所有适用结果的问题。

  2. 修复了Artifactory实例详细信息页面中的“取消”按钮的问题。
  3. 修正了升级到Xray 1.8.3时数据迁移不正常导致日志文件错误的问题。

x光1.8.4

2017年9月25日上映

该版本带来了重要的OSS许可证功能,以提高许可证覆盖范围,包括从文件解析许可证、许可证内容分析和GitHub许可证匹配的能力。

功能增强
  1. Xray现在将支持从所有流行的许可证文件约定(如“*”)解析OSS许可证信息。Pom和license.txt的元数据文件。
  2. 通过分析许可证内容并将其与已知的许可证类型进行比较,现在将使用额外的匹配逻辑层来帮助对更多可能略有修改的OSS许可证进行分类。
  3. Xray现在可以通过GitHub页面从GitHub获取组件的许可信息。
  4. Xray安装程序现在支持将安装/升级输出写入安装程序日志,以获得更好的可跟踪性。

问题解决
  1. 当无法识别许可证时,许可证选项卡将在选项卡标题中显示“0”。标识为“未知”的许可证将在组件详细信息页面中包含适当的占位符。

  2. 更好地处理与相同组件id关联的多个文件。
  3. Xray Docker安装不再需要root权限才能运行。


于x光1.8.5

2017年10月17日上映

功能增强
  1. 工件校验和匹配- x射线现在提供了更准确的结果,除了已经支持的组件id匹配,做校验和匹配。这对于没有附加适当组件id的文件(如Javascript文件)尤其有用。
  2. 分析过程中的性能改进和内存消耗增强

x光1.8.6

2017年10月19日上映

问题解决
  1. 修正了当x射线的索引进程失败时,在某些条件下,临时文件不会被删除,这可能最终耗尽文件系统上的可用存储空间的问题。

1.7 x光

2017年4月20日上映

突出了

新主页:的x光首页Page已经被完全重新设计,成为一个提供大量有用信息的仪表盘。一目了然,了解您的总体系统运行状况,获得组件和警报的概述、系统扫描状态、数据库同步状态等。

功能增强

组件搜索的包类型过滤器:组件页面现在包含一个包类型过滤器,可以让您专注于特定的包类型,从而更容易搜索特定的组件。

问题解决
  1. 如果删除了外部集成,Xray现在也将删除与该集成相关的任何警报
  2. 在查看时,自定义问题现在与安全漏洞聚合在一起组件的细节以及REST API响应。
  3. 修正了在Artifactory中更新与x射线索引状态相关的属性的问题。

x光1.7.1上

2017年4月24日上映

问题解决
  1. 修正了文件路径有时会导致错误位置的问题。
  2. 修复了组件许可证迁移的问题。

x光1.7.2

2017年6月5日上映

功能增强
  1. Xray现在添加时间戳指示来构建快照。这确保每个快照都有唯一的名称,从而更容易使用快照。
  2. 当更新到新版本需要迁移数据库时(这可能需要一些时间),Xray现在将显示升级的进展情况,并在升级失败时提供错误信息。
  3. Xray的日志记录功能已经得到了改进,因此如果您想更改其任何服务的日志级别,就不必重新启动Xray。
  4. Xray的搜索已经得到了增强,因此除了包类型之外,您现在还可以根据组件类型(工件或构建)筛选搜索。
问题解决
  1. 修正了一个由于解析时间戳时包含Z时区指示符而导致无法创建自定义问题的问题。
  2. 修正了一个问题,阻止x射线注释的工件在Artifactory的名称包含某些特殊字符。
  3. 修正了连接Artifactory实例的配置描述符中的x射线基URL在基URL被修改时不会被更新的问题。
  4. 修复了一些工件的状态即使在扫描后也不会被修改的问题,并且,当在Artifactory中为未扫描的工件启用下载阻止时,它们的下载会被阻止。

x光1.7.2.1

2017年6月6日上映

问题解决
  1. 修正了1.7.2版本中引入的在某些情况下会导致数据库连接泄漏的问题。

x光1.7.2.2

2017年6月8日上映

问题解决
  1. 修正了一个问题,阻止Xray同步它的数据库和索引工件由于太多的空闲连接到它的PostgreSQL数据库。

x光1.7.3

2017年6月25日上映

增强

x射线现在支持设置系统日志级别而不必重新启动Xray服务器。

问题解决
  1. 修复了一个Docker图像的问题,其完整的图层已经包含在另一个索引图像中,但不会被索引。
  2. 修正了一个问题工件的总结如果没有,REST API端点就不会提供许可信息允许或旗帜许可证为手表定义的过滤器。

1.6 x光

2017年1月18日上映

CI / CD集成

JFrog Xray在您的CI/CD管道中扮演积极的角色,如果您的构建或其任何依赖项存在漏洞,则指示您应该失败构建作业。您的CI服务器(目前支持Jenkins CI)现在可以向Xray发送请求,扫描上传到Artifactory的构建。根据您可能定义的Watches, Xray将扫描构建,如果发现触发警报的漏洞,Xray现在可以向询问构建作业应该失败的CI服务器作出响应。


主要更新

  1. 失败的构建工作如果构建工件或其依赖项包含漏洞,则根据Watch规范。
  2. 更改了将“通知”替换为“通知”的用户界面行动,并添加了Fail Build Job操作以支持CI/CD集成
  3. “所有构建”增加了一个新的目标类型因此,您可以指定所有上传到Artifactory的构建都通过x射线扫描,而不仅仅是您配置到手表中的特定构建。

x光1.6.1

2017年1月25日上映

主要更新

  1. 一个导致工件索引失败的问题已经修复。

x光1.6.2

2017年2月12日上映

防止暴力破解攻击

Xray已经配备了登录协议,以防止暴力攻击。当Xray遇到同一用户的多次登录尝试时,Xray会逐步增加用户在尝试再次登录之前必须等待的时间间隔。登录失败次数达到一定数量后,该用户的帐户将被锁定。此时,只能由x射线管理员重置登录。管理员可以完全控制登录失败的次数,从而锁定用户。

系统日志

文件中查看Xray系统日志文件管理模块,它能够过滤来自Xray背后不同服务的日志消息。

主要更新

  1. 当配置代理服务器时,阻止x射线到达全局数据库服务器的错误已修复。
  2. 在将全局数据库同步到Xray时,性能得到了极大的提高。对于第一次同步和定期更新,整个流程时间都大大缩短了。
  3. 增加了一种机制,以防止对x射线的暴力攻击锁定用户多次登录失败。
  4. 当升级存档被解压到与前一个版本相同的文件夹中时,一个阻止升级的错误已经修复。
  5. 工件的影响路径现在显示为完整的路径,包括Artifactory实例和承载受影响工件的存储库。
  6. 的管理员现在可以查看Xray日志管理模块系统日志页面。

x光1.6.3

2017年3月7日上映

主要更新

  1. Xray的分析过程性能得到了极大的改进
  2. 生成安全报告已经得到了很大的改进,特别是对于索引了数千个工件的Xray实例。
  3. 警报现在可以按严重程度排序,当查看细节对于选定的警报,选项卡标题还将显示其严重性。
  4. 控件中遗漏了一些受影响的工件的错误安全报告已经固定。
  5. 其中的一个bug离线数据库同步由于没有找到组件而失败已经修复。
  6. 扫描过程的性能有了很大的提高
  7. 当浏览一个组件的细节页面、其子组件的漏洞和许可证也会显示出来。

x光1.6.4,

2017年3月14日上映

主要更新

  1. 一个导致代理服务器功能失败的问题已经修复。

x光1.6.5

2017年3月22日上映

主要更新

  1. 改进索引和扫描过程的性能。
  2. 提高安全报告生成的性能。

1.5 x光

2017年1月4日上映

依赖图的api

JFrog Xray向任何可以访问其REST api的外部源公开其依赖关系图。通过一个简单的REST API调用,您现在可以以JSON对象的形式接收任何组件或构建的完整依赖关系图,或者比较任何两个组件或构建的依赖关系图,以清楚地指出它们之间的差异,并轻松地研究可能引入问题和漏洞的新依赖关系。

编辑系统表

当Artifactory中的存储库配置为阻止下载时,将创建系统监视。为了在何时生成警报方面提供更大的灵活性和更好的控制,Xray管理用户现在可以编辑系统监视。

未知的许可证

处理具有未知许可证的组件是组织策略的问题。Xray现在允许指定这些组件是否应该触发警报。


主要更新

  1. 依赖图api允许你获得任何工件构建,并比较任意两个工件构建
  2. 系统表现在可以由管理员用户编辑。
  3. 允许和禁止的许可证过滤器现在允许您指定“未知”,这样您就可以决定具有未知许可的组件是否应该触发警报。
  4. 当索引Docker映像时,Xray现在也在映像OS层索引Debian和RPM包。
  5. 新员工培训向导UI在可用性方面得到了改进,并允许对选定的存储库进行就地索引。
  6. 安全报告显示得到了改进。

x光1.5.1

2017年1月9日上映

主要更新

  1. 修正了一个导致数据库连接泄漏的问题
  2. 修正了带有无效头文件的gzip文件的处理

x光1.5.2

2017年1月10日上映

主要更新

  1. 修复了阻止微服务写入系统日志的问题


1.4 x光

2016年12月20日发布

安全报告

JFrog Xray添加了一个新的报告,向您显示哪些漏洞在代码中具有最深远的影响,代码库中的哪些组件具有最多报告的漏洞,以及最近检测到的漏洞和受感染的组件。

黑鸭子集成

JFrog Xray已经与黑鸭软件集成,成为一个新的外部漏洞提供商。Black Duck自动化了保护和管理开源软件的过程,帮助您遵守开源许可要求,并提供关于在开源组件中发现的漏洞的安全警报。

主要更新

  1. 安全报告
  2. 黑鸭子集成

1.3 x光

2016年12月4日发布

提高新员工培训

在几个方面已经改进了入职体验,包括一个向导,指导您完成配置Xray的第一个基本步骤。

集成

integration UI已被修改为更灵活、更有效地适应任何数量的具有外部问题和漏洞提供程序的集成。

工件和构建摘要REST API

工件和构建总结REST API端点提供了关于工件或构建的一般信息,以及与之相关的问题和OSS许可的聚合列表。


主要更新

  1. 入职改进包括新员工培训向导
  2. 灵活的用户界面集成
  3. 工件的总结而且建设总结REST api

1.2 x光

2016年11月6日发布

许可证的报告

生成一个报告,显示由Xray索引的构件所使用的开源许可证的分布情况,以及它们与系统中所有监视中定义的“允许许可证”和“禁止许可证”过滤器的遵守情况。

系统状态

Xray现在监视各种系统参数并报告它们的状态,使您可以轻松地诊断问题。

问题过滤器

您现在可以根据与索引工件相关的问题的最小严重程度在手表上创建过滤器。

主要更新
  1. 许可证的报告用于分发OSS许可证和遵守定义的监视。
  2. 自我监控系统状态
  3. 校验和计算已经通过异步运行进行了优化。
  4. 问题过滤器基于与工件相关的问题的最小严重性。

1.1 x光

2016年9月22日发布

支持Artifactory的旧版本

JFrog Xray现在支持v4.0及以上版本的JFrog Artifactory

与全局数据库服务器同步

以前,Xray会按照设定的时间间隔自动与全局数据库服务器同步。为了更好地控制系统资源的使用,现在可以手动调用初始同步并使用全局数据库服务器进行更新,并在必要时暂停/2022世界杯阿根廷预选赛赛程恢复同步。

支持非docker安装

除了Docker, JFrog Xray现在还可以安装在各种不同的版本中,包括Ubuntu、CentOS、Red Hat和Debian。

支持下载阻塞

JFrog Xray将在JFrog Artifactory的任何连接实例中注释被识别出有问题的工件,以便Artifactory管理员可以阻止该工件的下载。

与水的集成

如果您有Aqua的帐户,这种集成允许您使用Aqua API密钥将其提要作为警报源启用。

开源软件许可证政策

现在,您可以根据OSS许可证的白名单或黑名单为手表定义一个过滤器,从而实现OSS许可证策略。系统中任何未通过您定义的过滤器的组件都将生成警报。

主要更新
  1. 支持Artifactory - v4.0及以上版本的旧版本
  2. 可见性和对资源的控制2022世界杯阿根廷预选赛赛程正在与全局数据库服务器同步
  3. 支持Linux安装
  4. 支持下载阻塞
  5. 支持手动调用和操作同步使用全局数据库服务器
  6. 集成阿卡
  7. 开源软件许可证政策
  8. 连接到Artifactory通过HTTP代理

1.0 x光

2016年8月1日

JFrog自豪地发布了第一个正式版本JFrog Xray 1.0。根据从使用几周前发布的上一个“预览”版本的客户那里收到的反馈,这个版本呈现了巨大的变化。

简单的新员工培训

x射线的整个入职过程都是在x射线内部完成的。这包括添加Artifactory实例、指定用于索引的存储库、触发索引和获取索引过程的状态。

统一的分析

监视和警报现在聚合所执行的所有类型的分析。您只需为a定义感兴趣的上下文(存储库、构建或所有构件),并查看关于在结果警报中检测到的问题和影响的构件的聚合信息。

关注最相关的问题和警告

现在,对于特定的警报实例或永久的警报实例,您可以选择忽略已解决或不感兴趣的警报或问题。

集成

虽然JFrog Xray预先配置了一个问题和受影响软件构件的数据库,但它也可以与其他漏洞提供者集成。该版本能够添加Whitesource,这是一种简单但功能强大的开源安全和许可证管理解决方案。

手动调用扫描

一个新的将只适用于新工件或在创建之后出现的问题。该版本增加了手动运行分析并应用新的关于现有工件和问题。

主要更新
  1. 简单的新员工培训
  2. 统一的分析手表
  3. 关注重要问题“忽略”规则
  4. 集成Whitesource
  5. 手动调用扫描
  6. 查看所有警报或仅查看基于手表你定义
  7. 支持一个HTTP代理与外部网络通信。

x光1.0.2

2016年8月11日,

这是一个小更新,修复了索引的问题,并增加了对x射线存储消耗的限制。

主要更新
  1. 修正了在某些情况下导致索引进程终止的问题。
  2. Xray现在限制了它在下载用于索引的工件时所使用的存储空间。

x光预览

2016年7月3日,

JFrog自豪地发布JFrog Xray!

JFrog Xray执行通用工件分析,递归扫描二进制包的所有层,以提供彻底的透明度和对软件架构无与伦比的洞察力。JFrog Xray适用于大多数包格式,并与JFrog Artifactory完全集成。

首页

主屏幕是您的仪表板,在这里您可以监视Artifactory实例Xray连接到,组件图形和警报。

手表

监视监视工件的问题,并在发现任何问题时触发警报。一个扫描watch监视Artifactory中的命名构建或存储库,并在发现任何有问题的依赖项时触发警报。一个影响分析watch监听所有供应商的流媒体信息到x射线,并对其数据库中的所有组件执行影响分析,以报告任何问题。

警报

警报提供关于在任何组件中发现的任何问题的详细信息,显示贯穿组件层次结构的完整感染路径。

组件

查看存储库中的组件关系,以了解一个组件如何影响其他组件。

REST API

通过丰富的Xray REST API自动化组件分析。