下载阻塞

通过Moshe Yalo

发现您在生产系统中使用的组件有一个已知的安全漏洞会让你的整个组织进入红色警戒状态。找到所有使用它的地方(无论是直接使用还是作为依赖项),删除它,找到替代方案并重构代码,这是一个可能花费开发团队几天甚至几周时间的过程。为了避免这些场景,您可以将Artifactory连接到JFrog x光并扫描下载到存储库中的所有工件。一旦工件进入您的系统,Xray就会被触发运行扫描,并通知您的ITSec或DevSec工作人员。

x光警告

然后,他们可以通知您的开发团队该工件已被禁止,开发经理可以将其从存储库中删除。但所有的手工处理都是乏味、费力且容易出错的。自动管理可能有害的工件是防止生产系统感染的更好方法。Artifactory的下载拦截功能就是这样做的。

下载屏蔽从两个层面保护你。首先,您可以确保工件在被索引并通过Xray扫描之前是不可下载的。第二级保护让您更好地控制可以下载或不可以下载的内容。漏洞按照严重级别进行分级:轻微、严重或严重。您可能希望在进一步调查小漏洞时允许开发继续进行,但是,您肯定希望阻止具有严重漏洞的工件。

xrayenableindexing

因此,您可以根据下载的严重程度控制何时阻止下载,并收到任何被阻止的工件的警报。为了确保开发人员在工件被阻塞时不会感到困惑,Artifactory在其UI中显示通知,或者为REST API返回特定的错误消息。

通过下载阻止,您的系统可以免受漏洞的侵害,因此您可以信任它们以最佳状态执行并执行它们应该做的事情。而且,一旦配置完毕,这一切都将在后台自动发生,无需任何人工干预。