再花几分钟:在Azure上添加x射线DevSecOps到Artifactory Enterprise

在之前的博客文章中，我们解释过如何通过Azure市场安装或更新Artifactory你点的咖啡到达柜台所需的时间。

现在，您可以添加到您的自我管理(BYOL) Artifactory部署Xray，精华软件组合分析(SCA)工具也可以通过Azure市场实现。

JFrog Xray是一个通用的SCA解决方案，本机集成了Artifactory，为开发人员提供了DevSecOps在将有风险的应用程序发布到生产环境之前，团队可以轻松地主动识别开源漏洞和许可证遵从性违规。

为什么添加Xray SCA

Xray支持所有主要的包类型和集成，知道如何解包每个包以及每个底层包含什么。Xray的深层递归扫描可以看到组件的所有底层和依赖关系，甚至包括那些打包在Docker映像和ZIP文件中的组件。

每个解包组件都被检查，以发现潜在的漏洞和许可证违规行为，由最及时和全面的VulnDB情报提供支持。

从这些数据中，Xray可以提供每个工件和依赖结构的组件图分析，为您提供独特的可见性，以确定所有发现的风险的影响。

你需要什么

在开始之前，你需要准备一些东西:

• 活动Azure订阅
• Azure中您所在区域可用的空闲vcpu
• x射线许可证(试用期后使用)
• 一个安装Artifactory Enterprise在Azure上的BYOL部署．
• 推荐: Azure PostgreSQL服务

安装Azure PostgreSQL服务器

Xray使用数据库来索引组件漏洞数据。与Artifactory一样，您可以使用自己选择的数据库源配置Xray。

我们推荐的Xray最佳实践配置是，在与Artifactory和Xray运行的节点分离的节点上使用数据库服务器。

为此，您需要在安装Xray之前创建一个Azure PostgreSQL服务。然后可以安装Xray来使用这个现有的数据库。

我们已经为您创建了一个有用的ARM模板，它将部署一个Azure PostgreSQL服务，具有与Xray一起使用的理想设置。您可以在我们的JFrog-Cloud-Installers回购，或者你可以从官方那里挑一个Azure存储库．

你可以克隆JFrog回购到你自己的工作站:

$ git克隆https://github.com/jfrog/JFrog-Cloud-Installers.git $ cd ~/JFrog-Cloud-Installers/AzureResourceManager/Postgresql . zip

编辑postgres.parameters.json的值db_user，db_password,db_server．

该文件azurePostgresDBDeploy.json是ARM模板，其中包含首选设置。的skuSizeMB参数将数据库存储设置为200gb，这是Xray的推荐大小。

使用Azure CLI，将PostgreSQL服务部署到与Artifactory部署相同的资源组中。

$ az部署组创建——resource-group——template-file azurePostgresDBDeploy。Json——参数@postgres.parameters.json

部署完成后，您将在资源组中看到PostgreSQL服务:

这个服务器现在可以与Xray一起使用。

BYOL安装在Azure云上

一旦准备好了这些基本要素，就可以从Azure Marketplace开始安装了。

1. 去微软Azure市场．
2. 搜索“JFrog”或“x射线”
3. 选择JFrog x射线ARM模板

或者你可以直接导航到JFrog x射线ARM模板．

开始安装过程:

1. 点击现在就开始吧按钮。
   如果您没有登录，Marketplace将要求您提供Azure帐户凭据。
2. 在弹出的窗口中，单击继续同意微软的条款
3. 点击创建

现在，您将通过一系列选项卡来输入信息。

基础知识

在这里，您将为这个实例选择活动订阅，以及它的区域，这必须与Artifactory部署相同。

您还必须选择一个Azure资源组例如。你可能不选择部署Artifactory的相同资源组。方法创建的对象中，可以选择已经创建的对象Azure资源管理器，或按创建新的现在来定义一个。

VM凭据

在此选项卡中，必须为将为JFrog Xray运行而创建的虚拟机指定一组登录凭据。为虚拟机管理员输入有效形式的用户名，可以定义12个字符的密码或SSH公钥。

Xray实例应该与Artifactory实例在同一个虚拟网络中。从部署Artifactory的资源组中选择虚拟网络，并选择该VN中的任何可用子网。虚拟机规格推荐为“Standard D4s v3”，最低要求为4vcpu。

x光设置

选择x射线版本，设置集群名称并生成主密钥。

你的Artifactory连接键可以在Artifactory的管理模块中找到。在安全>设置Tab，输入您的密码连接细节解锁平台连接详细信息。然后你就可以查看并复制连接键来粘贴到ARM模板表单中。向Artifactory部署提供URL。

数据库配置

在这个屏幕上，您可以创建或连接x射线到数据库。如果按照建议，您已经在另一个节点上创建了PostregSQL服务，请选择使用现有的postgresql实例．然后输入数据库服务器名和连接字符串以及来自PostgreSQL实例的用户名和密码。

连接字符串示例:

postgres: / / < db_server_name > .postgres.database.azure.com: 5432 / < db_name > ? sslmode =禁用

回顾+创建

在最后一个选项卡中，Azure将验证您的配置。验证通过后，单击创建启动部署。

在部署后

艰苦的工作完成了!ARM模板从这里开始，将Xray及其组件部署到Azure VM中，并将其与Artifactory连接。

部署完成后，登录到Artifactory实例。你会看到索引资源2022世界杯阿根廷预选赛赛程弹出窗口，确认x射线已启动并运行。从这里，你可以选择你想要x射线索引的存储库。

一旦你设置了你的x光手表，你可以享受丰富的味道DevSecOps，确保当关键组件出现问题时您会收到警报，并且可以阻止不安全的构建版本的发布。

关于Artifactory、PostgreSQL和Xray安装过程的完整演示，请观看本教程视频。