资源扫描结果分析

---

分析资源详细扫描数据2022世界杯阿根廷预选赛赛程

每个扫描的资源——包、构建、工件和发布包2022世界杯阿根廷预选赛赛程都包含以下一组x射线子选项卡和一个操作列表。

Xray Data子选项卡包括:

• 违规行为:这些都违反了手表上定义的过滤器。它们只报告根组件，而不报告它的依赖项。
• 安全:所选组件的已知安全漏洞。
• 许可:组件使用的OSS许可证。
• 死者们:所选组件包含(依赖)的组件。
• 祖先:包含(依赖于)所选组件的组件。

下面的小节以显示Packages资源为例描述Xray Data子选项卡。请注意，构建、工件和发布包的选项卡是相同的。

违反

根据用户设置的监视和关联策略，显示包版本上检测到的违规信息。您可以查看漏洞的级别、类型和关联策略。要查看组件及其依赖项，请单击Component图标。在某些情况下，当检测到违规时，作为安全或法律人员，您希望接受或将其中一些违规添加到Allow List中。有关更多信息，请参见无视规则．

违反细节

漏洞细节

脆弱组件的物理路径

安全

显示所选包版本的已知安全漏洞，以及不包含该漏洞的受影响版本和固定版本。

要检查违规的详细信息，请单击列表中的违规，以显示问题详细信息弹出框。

确定操作系统软件包的问题严重级别

Xray最初从JFrog管理的Xray全局数据库服务器中填充有关漏洞和许可的数据。在初始数据库同步之后，Xray将继续与中央数据库同步，以便每天进行新的更新。

在分析开源操作系统软件包的漏洞时，Xray从两个来源获取有关漏洞严重性的数据:

• NVD:包含已知漏洞的国家漏洞数据库，每个漏洞都有它们的CVSS分数。关于在x射线中CVSS评分的更多信息，参见CVSS评分在x射线．
• 安全咨询:一些开源操作系统有自己的安全跟踪器，可以进一步分析操作系统包中的漏洞。

在操作系统安全咨询包含有关包中漏洞的数据的情况下，Xray将基于此数据而不是漏洞的CVSS分数计算漏洞的严重性。

原因是，操作系统的安全顾问团队做了进一步的分析，得出了关于操作系统包内漏洞的优先级/紧迫性/严重性的更精确的结论。

为了帮助您理解Xray如何映射来自每个操作系统的信息，我们概述了每个操作系统的严重性/优先级以及它如何在Xray中呈现。

注意，如果一个漏洞的严重性在安全通知中是未知的，CVSS分数将从NVD计算出来。

Ubuntu

漏洞来源: Ubuntu CVE跟踪器

从：优先级

优先级到x射线严重性映射：

优先级到x射线严重性映射: CVSS v3

Debian

漏洞来源:Debian安全漏洞追踪器

从：紧迫感

紧迫性到严重性映射：

RPM

漏洞来源:红帽安全咨询和CVE数据库

从：严重性评级

Red Hat Severity到Severity映射:

Red Hat Severity到Severity映射:CVSS v3

许可证

显示分配给特定版本的许可证和触发器如果符合任何现有手表的标准，则违反。单击License以查看附加到组件的License。

后裔

显示所选组件包含(依赖)的组件。

的祖先

显示包含(依赖于)所选组件的组件。

---

x光的行为

扫描违规行为

要启动对软件包版本的手动扫描，请选择扫描违规行为从Actions列表中。

分配自定义问题

用户创建的安全漏洞被标记为自定义问题，可以由具有Manage Xray Metadata权限的用户删除。

分配自定义license

用户创建的license被标记为自定义license，可以通过以下方式删除

从行动列表中,选择分配自定义License为您的版本中的组件分配自定义许可。

从预定义的license列表中选择一个license。

点击保存．触发手动扫描更新license列表。

导出x射线数据

使用Actions菜单，您可以导出所选组件和版本的完整详细信息，包括违规、安全问题和许可。从x射线数据标签在软件包版本页面中,选择出口数据从行动列表。

在下面出口数据弹出，指定是否要导出违规，应导出的许可证或安全参数以及导出格式。

文件被下载到本地驱动器。

下面是一些以不同格式导出文件的示例。

控件自动导出组件详细信息导出组件详细信息REST API端点。

---