使用私有数据自定义x射线DevSecOps

对于一些组织来说，即使是最好的也不够。这就是为什么JFrog Xray为您提供了一种方法来指定您自己的额外数据，在您的二进制文件进入生产环境之前检测到更敏感的问题。

JFrog x光是一个工具DevSecOps团队可以深入了解其应用程序中使用的开源组件。通过对Artifactory存储库中的二进制文件进行深度递归扫描，Xray可以识别安全漏洞这有助于确保许可遵从性你们组织的政策。使用这些额外的元数据，Xray可以自动响应违规行为，例如阻止下载或构建失败。

开箱即用，Xray使用来自行业领先来源的数据，包括基于风险的安全VulnDB确定包或工件是否包含某个漏洞。VulnDB为DevSecOps提供了最完整的漏洞情报，比常用的CVE数据库(截至2019年9月)多出近9万个漏洞。

有了这样全面的DevSecOps数据，为什么还要添加自己的数据呢?公司或开发者可能会有以下几个原因:

• 你可能认为某些东西是一个漏洞，而Xray的数据源没有。
• 您可能有权访问未包含在Xray数据源中的软件组件的信息。
• 您可能有私有(不是OSS)库，您已经跟踪了其中的漏洞，并希望将其包含在Xray中安全扫描．

对于这样的用例，Xray支持定制的集成你自己的漏洞数据。通过自定义集成，您可以启用Xray查看外部源，以获取有关漏洞和许可的其他信息。就像JFrog的第一方数据源一样，如果您的服务器提供了关于软件组件的信息，Xray将应用安全和许可证遵循策略你已经指定了。

创建自定义集成

添加一个自定义集成到Xray是非常简单的，你可以了解所有的细节，以及尝试从我们的文件x射线自定义集成演示在GitHub上．对于那些已经熟悉x射线技术的人，我们将在这里介绍演示的亮点。

有两个部分需要设置:

• 您的定制集成REST API
• JFrog x光

运行Demo服务器

从项目的根目录运行服务器。API密钥由您决定，并由Xray使用您的RESTful API进行身份验证。

去主舱。(< api key >) [< path-to-db-file >］

x光设置

从侧栏的管理面板打开集成视图，以创建一个新的集成。

选择定制的集成并配置集成。

生成安全违规

演示带有一个用于数据库的“json”文件。可以向此文件添加新组件以触发安全违规。

{“component_id”:,“许可”:[{“版本”:,“许可”:“Apache 2.0 " ] } ], " 漏洞”:[{“版本”:,“source_id”:“0”}]}

在x射线中，可以手动触发组件的扫描。用户还可以利用政策和手表，它将在发生违规时强制执行特定的行为。

尝试一下

我们鼓励您探索GitHub项目中的Xray集成，并自行指导和运行此示例自定义集成。

如果你还没有在DevSecOps中尝试过x射线，注册一个免费试用的x射线on-prem或云．