带x射线出盒与依赖和二进制扫描

左移安全意味着您，开发人员，在开发早期捕获并修复漏洞和许可证违规SDLC．这就是x光的原因扫描的二进制文件通过你的构建推送到Artifactory，并在你的依赖关系出现问题时提醒你。

但是更早地捕获它们，甚至在签入代码之前，对于向左移动的开发人员来说是很重要的。因此，我们已经开始扩展Xray的功能，使您能够从JFrog CLI按需扫描本地文件系统目录中的源代码或二进制文件。

以下是需要这些用例的一些原因:

• 不是所有的二进制文件都存储在Artifactory中
• 在上传到Artifactory之前发现构建中的任何漏洞/许可违规
• 安全人员可能需要扫描发送给他们的二进制文件以进行验证
• 组织只希望将批准的二进制文件部署到Artifactory中

使用这些JFrog CLI工具，开发人员、安全团队或其他人员可以在漏洞和许可证违规成为Artifactory的单一真相来源之前，将它们排除在应用程序之外。

x射线依赖扫描

JFrog x光现在提供功能扫描漏洞在你的源的依赖关系以及使用JFrog CLI违反许可证。易于使用的命令行工具，使您能够扫描可以随时随地运行的源目录，而不需要编译，测试或部署到Artifactory，节省宝贵的时间来解决任何问题。

一旦通过CLI操作，Xray将扫描您的依赖项，就像扫描Artifactory存储库一样。该命令返回一个详细的扫描报告，其中包含在依赖项结构中发现的任何漏洞或许可证违规的详细信息。该特性的好处如下:

• 开发人员在编码时的可见性，可以在上传到Artifactory之前了解构建中的任何漏洞或许可违规
• 运行临时安全扫描，而不上传至Artifactory
• 坚持组织标准，在将二进制文件和源代码上传到Artifactory之前需要经过批准。

它是如何工作的?

要从命令行开始扫描，必须首先将目录更改为包含源文件的顶级目录。然后你就可以执行JFrog CLI命令对文件执行Xray依赖项扫描。

一次只能对一种类型的项目执行审计。例如，要在源代码中扫描Maven项目并报告所有漏洞:

$ jfrog xr audit-mvn

你也可以应用你的x射线策略规则属性来执行扫描手表、项目或存储库路径，其中这些策略已在Xray中应用。例如，要将“watch1”中使用的策略规则集应用到Maven项目扫描:

$ jfrog xr audit-mvn——查看“watch1”

当完成时，它将默认生成一个引用依赖项的报告，这些依赖项违反了这些安全和许可策略:

如果您愿意，JFrog CLI可以将报告生成为JSON文件，您可以使用您选择的其他工具来读取该文件。

x射线按需二进制扫描

作为单独的开发人员或作为一个组织，您可能希望在开发过程中安全地编码和构建软件，因为这可以节省您的时间，不必在编译后查找和修复漏洞。像之前的新扫描功能一样，您还需要使用JFrog CLI来激活任何扫描功能按需二进制扫描．

您所需要做的就是指向本地文件系统中的二进制文件，然后您将收到一个报告，其中包含该二进制文件的任何漏洞和许可违规列表。JFrog CLI封装了一个闭源组件，该组件包含提取二进制文件的逻辑，并从二进制文件中组成一个组件图，类似于Artifactory中x射线扫描二进制文件的方式。有关更多信息，请参见x射线安全性和合规性．CLI返回一个详细的扫描结果报告，其中包含在二进制文件中发现的漏洞、违规和许可的详细信息。

目前支持所有包类型的二进制扫描，除了码头工人这很快就会发生。

它是如何工作的?

执行x射线按需二进制扫描的过程与源文件扫描非常相似。例如，要将“watch1”中使用的策略规则应用到本地文件系统中的二进制文件:

$ jfrog xr ' s path/to/files/"——watch1"

该命令将生成一个与上面所示类似的安全和许可证违反报告。类似地，您也可以将报告生成为JSON文件。

向左移动“Shift Left”

这些功能只是我们在当前版本中继续增强Xray的两种方式，使漏洞和许可合规扫描对开发人员更容易访问。有关更多功能，包括最新的API增强，请参见x射线发行说明．

如果您还没有使用Xray来确保您的软件发布更安全，开始使用一个免费的JFrog云帐户！