使用JFrog x射线对CI/CD管道进行漏洞检测

我的上一篇博文谈到了直接从IDE中发现依赖项中的漏洞。然而，有时这种方法会阻碍开发人员的工作，从而降低他们的工作效率。让我们来看看如何在CI/CD过程中尽可能早地继续检测漏洞，而不影响开发时间。

强制在构建时开始

作为最佳实践，您希望继续为开发人员提供他们需要的信息开发时间．这仍然让他们可以选择自己想要使用哪些组件，而不是强迫他们使用，这让他们有了创作自由。真正的执行应该在过程中发挥作用构建时间，其中所有的活动部件都集成到构建过程中。这就是JFrog x射线集成的地方詹金斯CITeamCity可以提供帮助。根据你自己的公司政策，如果一个新的漏洞进入你的应用程序，Xray将扫描并失败你的构建。

构建步骤

构建过程包括您的普通步骤，如设置、依赖项解析、构建、测试和部署到生产。Xray允许您在构建构件部署到JFrog Artifactory(步骤4)后，将一个新的分析步骤(步骤6)包含到您的管道中。根据分析结果，构建将通过并提升到产品，或者根据Xray生成的警报(步骤7/8)失败。失败的构建将显示在组件的屏幕，并提供所有漏洞和严重级别的列表。

观看这段有用的屏幕视频，了解如何将Xray与CI服务器集成，并在不妨碍开发人员的情况下获得安心。这段视频将带你完成CI / CD管道让您全面了解从承诺到建立和成功推广的整个过程。