使用最新的JFrog产品?hth华体会最新官方网站
JFrog平台用户指南
JFrog x射线x文档
要获得最新版本,请访问JFrog统一平台
跳到元数据的末尾
进入元数据的开始
x光2.9.0
发布日期:2019年9月2日
功能增强
在x射线上使用TLS支持保护MongoDB
中配置TLS支持,可以为Xray添加额外的加密层MongoDB.
改进的RabbitMQ集群HA
Xray支持完整的RabbitMQ集群,允许新节点连接到集群中的任何活动节点,从而消除了只能连接到活动主节点的限制在启用添加HA节点安装流程.
增强的Python支持
- Docker中扩展的Python包类型支持:作为我们支持Python社区的努力的一部分,除了现有的Python包扩展名之外,Xray现在还扫描Docker映像中的Python .py文件扩展名:.Whl, .egg, tar.gz, .tgz。
- 扫描整个Python版本:现在,您可以按照JFrog CLI 1.28.0版本扫描整个Python构建,该版本支持为Python构建创建构建信息
增加了UI中的队列工作范围
的Queue Workers在UI中的范围为在大型系统中配置系统队列提供了灵活性。
问题解决
- 安全映射可以正确映射中等问题和次要问题。
- 创建或使用webhook将不会在响应中显示密码。
- 在执行automatic npm audit fix命令时,由于格式问题导致x射线审计修复失败。现在,npm审计修复程序成功运行。
- Xray SaaS用户现在可以查看许可证管理部分。
- 中支持包含特殊字符的密码xray_config.yaml文件。
- 支持在Docker安装过程中修改x射线端口。
x光2.8.0
发布日期:2019年4月8日
功能增强
在x射线上使用TLS支持保护PostgreSQL和RabbitMQ
中配置TLS支持,可以为Xray添加额外的加密层RabbitMQ或PostgreSQL.
增加Ubuntu 16.04和18.04对非docker安装的支持
Xray可以在Ubuntu 16.04和18.04上运行,用于非docker安装。
问题解决
修复了在红帽和非红帽发行版之间运行时间比较时产生RPM误报的问题。
修正了Docker索引包含损坏文件时失败的问题。
修正了连接字符串包含特殊字符时加密失败的问题。
修正了一个普尔使用某些Docker映像会导致Indexer抛出(“Slice out of bounds”)错误。
修正了在x射线入职期间设置身份验证器提供程序不被应用的问题。
修正了自签名证书无法添加到x射线Docker和非Docker安装中的问题。
修正了由于npm 3.0.4组件不匹配而导致x射线报告存在多个不正确许可证的问题。
修正了在x射线请求日志中启用X-Forwarded-For报头导致请求的问题看起来好像它们都是从负载均衡器IP地址发送的。
修正了在Docker上运行Xray时处理RMQ/PSQL连接的问题,以确保正确启动。
修正了call home功能在独立安装时无法工作的问题。
修复了在x射线中发现“AMQP明文认证安全”漏洞的问题。
修正了如果访问不可用,身份验证提供者无法移动到另一个Artifactory的问题。
修正了由于损坏的blobs导致索引失败时产生错误消息的问题。
已知的问题
Ubuntu 18.04支持
此版本存在一个已知问题,无法在Ubuntu 18.04上安装Xray
x光2.8.2
发布日期:2019年5月13日
升级到Xray 2.8.2之前
发现了以下已知问题:
- NPM审计请求失败。
- 在DB迁移过程中,根文件中检测到内存泄漏。
- 找不到包时,根文件迁移失败。
- 根文件迁移由于超时问题而失败。
这些问题的修复在2.8.6版本中可用,因此我们建议升级到2.8.6。
功能增强
查找根组件
从Xray 2.8.2,x射线组件搜索默认设置为只在搜索结果中显示高级根组件列表基于部署到Artifactory的工件。您可以通过禁用该字段来选择查看整个层次结构。
问题解决
- 修正了一个问题在这里,作者和笔记没有显示出来,即使它们被添加到手表忽略规则中。
- 修正了支持包页面显示不正确的状态摘要的问题。
- 修正了无法从所有HA x射线节点下载支持包的问题。
- 修正了x射线启动时,由于PostgreSQL死锁导致分析无法启动的问题。
- 修正了RabbitMQ可能出现的连接泄漏问题。
- 修正了在配置身份验证提供程序时x射线管理密码无法更改的问题。
x光2.8.3
发布日期:2019年5月15日
升级到Xray 2.8.3之前
发现以下已知问题:
- 在DB迁移过程中,根文件中检测到内存泄漏。
- 找不到包时,根文件迁移失败。
- 根文件迁移由于超时问题而失败。
这些问题的修复在2.8.6版本中可用,因此我们建议升级到2.8.6。
问题解决
- 修正了Xray 2.8.2中NPM审计请求失败的问题。
x光2.8.4
发布日期:2019年5月16日
升级到Xray 2.8.4之前
发现以下已知问题:
- 找不到包时,根文件迁移失败。
- 根文件迁移由于超时问题而失败。
这些问题的修复在2.8.6版本中可用,因此我们建议升级到2.8.6。
问题解决
- 修正了一个问题因此,在DB迁移过程中,根文件中检测到内存泄漏。
x光2.8.5
发布日期:2019年5月16日
升级到Xray 2.8.5之前
发现以下已知问题:
- 根文件迁移由于超时问题而失败。
这些问题的修复在2.8.6版本中可用,因此我们建议升级到2.8.6。
问题解决
- 修正了一个问题当找不到包时,根文件迁移失败。
x光2.8.6
发布日期:2019年5月17日
问题解决
- 修正了一个问题根文件迁移由于超时问题而失败。
x光2.8.7
上映日期:2019年6月3日
问题解决
- 修复了一个在x射线扫描有很多依赖的构建时RAM占用很高的问题。
x光2.8.8
上映日期:2019年6月24日
功能增强
x射线支持在IDE插件中显示固定版本
除了查看显示组件及其依赖关系的漏洞信息的面板外,现在还可以在IDE插件中直接查看补救信息。
改进的Maven工件的x射线分类
除了搜索文件夹中的POM和JAR文件外,Xray还将搜索位于Maven根目录中的工件并将其分类为Maven工件。
“x射线已知license”中增加了多个license
Xray现在可以在本地文件资源中识别多个使用“And”操作符分组的许可证。
改进的MIT许可证检测
Xray通过搜索NuGet包中的“表达式”变量增加了改进的MIT许可证检测。
Xray支持外部化PostgreSQL连接池
x射线外部化'最大连接'和'最大空闲连接' PosgreSQL连接池。
问题解决
- 修正了x光扫描和标记的问题org。aist:用于未知许可证的Maven包的配置组件。
- 修正了x射线扫描所有json文件作为npm包中的许可证文件的问题。
- 修正了数据库更新在数据库同步期间没有进展而被跳过的问题。
- 修正了使用本地安装程序的用户可以在没有凭据的情况下连接到MongoDB的问题。
- 修正了x射线无法检测到一些Python .whl文件作为组件的问题。
- 修正了x射线在监控期间触发错误通知的问题,警告Kubernetes中的特定服务关闭。
- 修正了x射线无法索引某些JAR文件的问题。
- 修正了x射线跳过Docker层导致扫描结果损坏的问题。
- 修正了如果用户名包含“@”符号,x射线无法连接到外部用户的问题。
- 修正了DB同步卡住的问题而计算在SaaS。
- 修正了在PSQL中运行查询时为支持包收集数据失败的问题。
- 修正了一个图像,x射线继续生成一个违规的阿尔卑斯山图像,已修复。
x光2.8.9
发布日期:2019年6月30日
功能增强
新增SSL证书CER文件支持
在此版本中,除Docker安装外的新安装,不要硬编码MongoDB的“密码”。相反,安装程序使用一个随机字符串来设置Xray密码,然后由Xray master.key加密。密码存放在“/ .”目录下根作为文本文件的文件夹,MongoDB_Admin_pass.txt.根据Xray的安装方式,它可能在本地用户的主目录中:~ / MongoDB_Admin_pass.txt
问题解决
修复了通过RabbitMQ进行缓存同步时导致HA模式出现问题的问题。
x光2.7.0
发布日期:2019年2月12日
功能增强
新增SSL证书CER文件支持
从Xray 2.7开始,我们扩展了SSL证书文件支持,除了现有的对CRT、CRT和PEM文件的支持外,还包括了CER文件。CER文件用于存储X.509证书。通常用于SSL认证,以验证和识别web服务器的安全性。CER文件可以是二进制的(ASN.1 DER),也可以用包含页眉和页脚的Base-64编码(PEM),并且可以被Windows识别。
RabbitMQ管理控制台禁用“Guest”登录自定义脚本
Xray安装过程包括安装RabbitMQ管理控制台,默认启用“Guest”用户。从Xray 2.7开始,可以运行脚本禁用RabbitMQ“客人”码头工人和Linux。
RabbitMQ 3.7支持
从Xray 2.7开始,RabbitMQ从3.6版本升级到3.7版本。
新的API命令
导出组件详细信息API命令:该命令将指定组件的详细信息导出为JSON对象、CVS或PDF文件。
获取顶级漏洞安全报告命令:生成top安全漏洞报告。
问题解决
- 修正了x射线无法解析在构建名称中包含斜杠“/”的构建的问题。
- 修正了从x射线2.1升级时,手表“最低”级别重置为“所有级别”的问题。
- 修正了一个问题,即如果“Admin”用户从Artifactory身份验证提供程序中删除,则x射线用户权限无法加载。
- 修正了一个问题,即无效的正则表达式文件被保存,然后x射线继续抛出一个错误时,验证它。从Xray 2.7开始,无效的regex文件将在保存过程中被拒绝。
- 修复了在某些场景下x射线扫描RPM操作系统包时的问题。
- 修正了按严重程度运行组件搜索时不返回任何组件的问题。
- 修正了DB时导致消息日志改善的问题同步失败。
- 修正了x射线将支持包归档为zip文件而不是tar.gz文件的问题。
修正了设置手表搜索“所有存储库”失败的问题。
修正了手表在选择自定义日期范围的“应用于现有内容”时失败的问题。
修正了如果现有的x射线安装安装在“/data”文件夹下,则x射线无法升级的问题。
修正了即使设置了“永久忽略”选项,仍会出现一些违规行为的问题。
修正了一个问题,即导航到管理标签失败,如果违反的过程中被加载到x射线主页。
修复了运行扫描构建REST命令时,多个条目共享相同校验和的文件返回错误路径的问题。
x光2.7.3
发布日期:2019年3月5日
问题解决
- 修正了构建崩溃和x射线扫描失败的问题当存储库扫描未启用时Artifactory.
第2.7.4 x光
发布日期:2019年3月13日
问题解决
- 修正了数据库同步自动更新的问题。
- 提高搜索性能时过滤组件的最小严重性。
x光2.7.6
发布日期:2019年4月2日
问题解决
- 修正了x射线代理密码在x射线界面显示的问题。
x光2.6.0
发布日期:2018年12月31日
突出了
弃用通知- Snyk集成
从这个版本,内置集成的Snyk被弃用。由于Xray全局数据库服务器已得到增强,以包含基本Snyk集成提供的绝大多数漏洞,并具有相同或更好的详细级别,因此这应该对Xray漏洞扫描有最小或没有影响。
扫描外部依赖项
此版本将Xray的扫描功能扩展到外部(可传递的)依赖项。这意味着对于支持的包格式,当构建组件被扫描时,任何托管在外部源上的依赖关系(即,没有物理地包含在构建工件中)也将被Xray扫描。这意味着为构建定义的任何监视和策略都将应用于内部构建工件和外部依赖项,并将相应地触发冲突。
管理开源许可证和自定义许可证
JFrog x射线介绍管理许可证模块,该模块提供市场上可用的开放源码许可证的全面列表,并指示扫描的每个组件使用哪些许可证。通过这个新模块,您可以定义自定义许可证并将其分配给组件,方法与分配其他许可证相同。
功能增强
导出组件详细信息
这个版本扩展了Xray的导出功能用户界面或者通过导出组件详细信息REST API端点。对于所有支持的包格式,您现在可以导出完整的组件详细信息(而不仅仅是导出许可证报告),包括违规、许可证和安全问题。
组件详细信息中的漏洞严重性
在查看组件详细信息时,Xray现在会显示在其任何依赖项中检测到的漏洞的最高严重程度。
x光2.6.2
2019年1月27日上映
问题解决
修复了如果托管Artifactory实例在其Tomcat中被配置为ROOT应用程序,Xray将无法扫描Docker注册表的问题。
修复了如果Docker注册表的名称包含在托管Artifactory实例的域名中,Xray将无法索引Docker注册表的问题。
修正了一个问题如果组件名称包含正斜杠(“/”)字符。
x光2.6.3
2019年1月30日上映
问题解决
- 修复了一个导致Xray在库扫描或影响分析的同时运行数据库同步时崩溃的问题。
- 修复了在扫描过程中,x射线无法对某些版本格式中存在漏洞的组件进行排序的问题。
- 修复了x射线在没有漏洞的环境下执行DB同步时会发出许多警告的问题。
x光2.5.0
发布日期:2018年11月26日
突出了
加强机密安全
来强化安全从这个版本开始,当在Kubernetes的Docker容器中运行Xray时,可以在临时文件中提供加密数据(秘密),例如连接字符串到外部数据库。x射线将在启动时加载文件中指定的参数,然后删除文件。
实时索引状态
为了更好地显示组件的扫描状态,添加了一个新的“Pending Scan”状态,表示该组件已添加到Artifactory并被索引,但x射线扫描尚未完成。
功能增强
忽略组件的所有问题
从这个版本开始,对于根组件,您现在可以选择忽略组件的所有违规
报告严重程度的改进
处理漏洞严重程度的方式已通过以下几种方式得到增强:
命名:严重性名称现在符合CVSS v2标准,并报告为“低”,“中等”或“高”。
信息严重程度:自定义问题现在可以被分配一个严重的“信息”。
问题解决
- 修复了一个maven类工件在被x射线索引后显示为通用组件的问题。
- 修正了在创建或编辑权限时,新创建的存储库不会显示为可用资源的问题。2022世界杯阿根廷预选赛赛程
- 修正了管理员用户无法编辑用户配置文件的问题。
- 修正了如果为x射线设置了身份验证提供者,则无法休息内部Admin密码的问题。方法重置密码更新用户REST API端点。
- 修正了CVSS v3分数不显示在违规细节弹出窗口的问题。
- 修正了一个问题,其中x射线将继续尝试连接到全局漏洞数据库,即使它被配置为离线同步数据库的。
- 修正了当Xray使用连接的Artifactory服务作为身份验证提供者时,Xray UI不会指示本地用户管理被阻塞的问题。
- 修正了如果Xray无法连接到已定义的代理或全局数据库,则无法保存配置更新的问题。
- 修正了一个问题,在x射线无法正确打开时,通过更多细节在x射线链接到x光选项卡用于Artifactory的Repository Browser中的组件。
- 修正了x射线无法通过代理连接Artifactory服务的问题。
- 修正了向组件添加多个自定义许可证后,无法删除许可证的问题。
- 修正了在索引带有外部层的Docker图像时,或在Artifactory中缺少层的图像时,当索引失败时,x射线将无法在日志中提供有用信息的问题。
- 修正了一个问题获得令牌REST API端点将生成文本字符串而不是JSON对象。
- 修正了某些日志消息被列为[INFO],而它们应该被列为[ERROR]的问题。
- 修正了一个问题名过滤在Watch上不能在Docker图像上工作
- 修复了将连接的Artifactory服务设置为身份验证提供者,创建新权限,然后切断Xray-Artifactory连接后,在安装另一个Xray实例并将其连接到Artifactory服务后,您无法创建具有相同名称的新权限的问题。
x光2.5.1
发布日期:2018年12月11日
问题解决
- 解决了一个问题当范围绑定缺失时,对空指针异常扫描失败。
- 解决了生成许可指标导致服务器在nil指针异常时崩溃的问题。
- 解决了影响分析失败的问题由于Postgres死锁当尝试使用Prepare语句时。
- 解决了一个问题的构建索引过程进入了一个无休止的循环,导致同一层文件在磁盘上重复重新生成。
x光测试盒框
发布日期:2018年10月10日
突出了
手表
手表已经发生了重大变化,以提高检测违规行为的可用性和有效性。
每只手表有多个资源2022世界杯阿根廷预选赛赛程:您现在可以向一个监视添加多个资源,并包括任意数量的2022世界杯阿根廷预选赛赛程存储库或构建,同时为每个资源指定一组单独的过滤器。当扫描工件时,Xray会处理每个资源及其过滤器,然后再进行下一个。如果工件通过了所有过滤器,Xray将处理为Watch定义的策略,以确定应该采取什么操作(如果有的话)。
工件路径过滤器:现在您可以指定一个相对表达式来根据构件在存储库中的路径筛选它们。这是对“Name”过滤器(以前称为“Regex”过滤器)的补充,该过滤器根据工件的名称对其进行过滤。
手表REST API:该版本引入了REST API的V2。目前,只有与watch相关的端点进行了更新,以适应此版本中对watch的重大更改。请注意,REST API是向后兼容的,并将继续支持V1端点,包括与Xray旧版本的手表相关的端点。
功能增强
高山包
x射线现在支持索引和扫描Alpine OS包包括递归分析,组件图集成,并提供详细的元数据信息。
组件的细节
的位置选项卡的UI组件详细信息面板经过改进,可以更清楚地指出扫描组件的工件可以在哪里找到。
已知的问题
不支持GCP上的Red Hat 6
在这个版本中有一个已知的问题,其中Xray无法安装在谷歌云平台(GCP)上的Red Hat 6机器上,由于RHEL 6中缺少操作系统依赖。
问题解决
- 修正了允许创建无效策略的问题
cvss_range参数。 - 修复了CentOS安装程序在安装后显示错误版本号的问题。
- 修复了离线数据库同步被中止时UI显示错误消息的问题。
- 修正了一个问题服务器内部错误被错误地退回按名称获取组件未找到组件时的REST API端点404未找到错误。
- 修正了由于未知许可证有时会生成违规的问题,即使相应的手表允许未知许可证。
- 修正了如果组名包含空格字符,则组的权限不会应用到其用户的问题。
- 修正了策略不能被分配给手表的问题创建政策REST API端点。
- 方法创建的新手表不能被分配策略的问题创建表REST API端点。
- 修复了由于包含大量JavaScript文件的消息在索引过程中有时会导致“内存不足”错误的问题。
- 修复了一个问题,当连接的Artifactory实例包含多个具有相同校验和但不同标签的Docker图像时,其中一个标签被删除,它仍然会在x射线中显示无效的位置。
- 修正了在索引过程中遇到EOF错误后索引Docker图像不会失败的问题。
- 修复了MongoDB数据库名被忽略的问题,即使它是在连接字符串中提供的。
- 修复了在扫描组件时,某些开源许可证会被错误地检测为不同的问题。例如,LGPL 2.1许可证有时会被检测为LGPL 3.0, CDDI有时会被检测为CDDL-1.0等等。
- 修复了Xray报告的被索引的工件数量有时大于存储库中托管的工件总数的问题。
- 修正了x射线无法识别包含破折号(“-”)字符的Docker图像标签的问题。
- 修复了使用Artifactory作为身份验证提供者时,如果用户被包含在名称中有多个空格的组中,Xray将无法验证用户的问题。
- 修正了Docker上的Watch图像包含属性过滤器将触发图像上的违规,即使它们不包含指定的属性。
- 修正了一个问题获取许可证报告组件REST API端点将为一个组件多次报告相同的监视。
- 中禁用SSL/TLS的问题邮件服务器配置使用UI将无法工作,除非
mailNoSsl:真也配置在x射线的配置文件. - 修复了RabbitMQ, PostgreSQL和MongoDB的默认凭据会显示的问题x射线的配置文件在明文。这些凭证现在是加密的。
- 修正了用户名现在可以包含连字符的问题。
x光2.4.1
发布日期:2018年10月15日
问题解决
修正了x射线将严重漏洞报告为主要漏洞的问题。
- 修复了影响分析队列中充斥着关于组件中空ZIP文件的消息的问题。
- 修正了PostgreSQL查询即使运行了几个小时也不会终止的问题
- 修正了即使正确配置了邮件服务器,策略的通知电子邮件操作也不起作用的问题。
- 修复了添加到手表的构建资源会在手表显示中重复的问题。2022世界杯阿根廷预选赛赛程
x光2.4.2
发布日期:2018年10月25日
- 修正了违规邮件显示组件链接断开的问题。
x光2.4.6
2018年11月8日上映
问题解决
x光tripwire
发布日期:2018年8月20日
突出了
原生HTTPS支持
Xray现在支持在web服务器上配置SSL管理模块在HTTP的设置屏幕上。缺省情况下,HTTP端口在配置中设置。yaml文件,剩下的就是指定通往SSL密钥和SSL证书的路径。
自动组件License报告
的组件License报告in Xray可以帮助您保持合规并避免由于构建或工件中可能存在的有问题的组件而违反法律。根据在Xray中生成的元数据,可以为每个构建或工件生成一个许可报告,该报告将列出直接或间接使用的所有OSS许可。
x射线支援区
作为基于JFrog SLA支持的一部分,您现在可以生成信息包在管理模块中的支持区域屏幕上。在打开支持票据时,您可以附加信息包以加快处理您的问题。
增强
政策的公共api
JFrog Xray将其策略暴露给任何可以访问其REST api的外部源。通过一组简单的REST API调用,就可以实现为手表创建、删除、查看和分配策略.
7z索引支持
7z压缩已添加到列表Artifactory已经支持的压缩技术包括Tar (Bz2, Gz, Z, infl, Xp3, xz), Zip, rpm, deb, 7zip。
问题解决
- 修正了临时文件无法找到和删除导致持久化失败的问题。
- 修正了一个巨大的RabbitMQ消息导致索引器后队列过载的问题,该问题已通过引入文件压缩解决。
- 修复了Persist从RabbitMQ获得“connection reset by peer”错误而不重新连接的问题。
- 修正了多个文件夹的问题Docker映像不会触发违规并向ci发送警报,同时将构建集保持正常。
- 修正了ImpactAnalysis队列中失败的消息不会显示在UI中且无法重试的问题。
- 修正了按属性运行手表过滤器不能过滤Docker图像的问题。
- 修正了试用许可证到期时数据库同步停止的问题。
- 修正了一个包含特定构建名称的过滤器不会被触发的问题。
x光技术
2018年8月28日上映
问题解决
- 修正了一个问题手表REST API端点将无法工作。
- 修复了在Xray 2.3中,当Artifactory和Xray使用试用许可证激活时,Xray无法运行的问题。
- 修正了影响分析在尝试更新已被索引但现在缺失的组件的许可证时有时会失败的问题。
2.3.2 x光
2018年9月2日上映
问题解决
- 修复了在Artifactory中使用Crowd for Auth provider时重新启动Xray导致用户登录权限丢失的问题。
- 修正了执行升级后,管理员用户没有权限的问题。
x光2.3.3
2018年9月26日上映
问题解决
- 减少JavaScript索引过程中的内存消耗。
x光2.2.0
2018年7月2日上映
突出了
政策
Xray引入了一个新的策略实体安全而且许可证合规行为,这在以前是Watch的一部分。在以前的版本中,监视包括被扫描的目标资源,例如存储库和构建,以及要采取的安全和许可违反标准和操作。2022世界杯阿根廷预选赛赛程从这个版本开始,为了增强可管理性和可维护性,将它们分开。
政策现在允许您创建一组规则,其中每个规则定义一个许可/安全标准,并根据您的需要使用一组相应的自动操作。
手表现在只定义您想要监视的资源的范围。2022世界杯阿根廷预选赛赛程您可以一次定义策略并将其分配给任意多个手表。
将你想要强制执行的行为与你想要强制执行的上下文分开,为你提供以下值:
- 效率.通过一次配置策略并将其分配给多个手表,可以减少工作并节省时间。
- 灵活性.配置多个具有附加功能的行为,例如安全规则的优先级。
- 单独的担忧.将权限委托给组织中的不同团队。与资源和过滤器相关的一切都在监视中,与安全性2022世界杯阿根廷预选赛赛程和许可证遵从性相关的一切都在策略中。
功能增强
- x射线现在可以分类OSS许可证,作为已知的许可证类型,从许可证文件。
- 增加了手动操作的能力对现有内容调用扫描因此,可以立即应用刚刚定义的新手表,而不必等待扫描触发事件发生。
- 常规配置设置已经增强,以提供更多的控制不同参数的x射线。
- 从x射线组件模块直接到Artifactory中的任何组件。
- 警报现在已完全弃用。
- 增加了一个REST API端点获取并更新存储库和构建的列表,这些存储库和构建是否为扫描建立索引。
- 增加了一个REST API端点它提供了一个基于一组搜索条件的违规列表。
x光2.2.1
2018年7月8日上映
问题解决
- 修复了构建中Docker图像的某些索引无法工作并抛出错误的问题。
2.2.2 x光
2018年7月16日上映
问题解决
- 修复了当Xray安装将Artifactory实例设置为其身份验证提供程序时,并且从版本1.11.0升级到版本2.2.1时,Xray Admin用户最终没有权限的问题。
- 修复了在从版本1.11.0及以下升级到版本2.0.0及以上后,将Artifactory实例设置为身份验证提供者将无法成功地对Xray进行身份验证的问题。
- 修复了当x射线的基本URL被指定为拖尾斜杠时,Artifactory和x射线之间无法连接的问题。
- 修复了一个阻止在Artifactory实例的Artifactory ID中使用大写字母作为x射线的认证提供者的问题
x光2.2.3
2018年7月17日上映
问题解决
- 修复了构建中Docker图像的某些索引无法工作并抛出错误的问题。
x光2.2.4
2018年7月22日上映
问题解决
- 修复了使用CI集成(如Jenkins)时的一个问题,在某些情况下x射线响应会非常大,导致CI卡住。
x光魅惑
2018年5月17日上映
突出了
JFrog企业+
宣布新的企业+平台,它提供了一个完整的解决方案,涵盖了在多站点开发环境中创建安全、可信和可跟踪的软件版本所涉及的所有步骤。
该解决方案与源代码版本控制、持续集成和部署工具一起工作。
JFrog企业+平台包包括:
- JFrog Artifactory:企业许可证以及Access Federation提供的所有功能,以及与Artifactory Edge合作的能力。
- JFrog分布:一个内部的、集中的平台,允许您提供软件发布分发。
- JFrog x光:在应用程序生命周期的任何阶段对二进制软件组件进行通用分析,为组织中任何地方的组件中潜伏的问题提供前所未有的可见性。
JFrog任务控制中心:任务控制中所有可用的功能,并添加:
能够在系统中添加Jenkins-CI、JFrog Distribution和JFrog Artifactory Edge实例作为服务并监控它们
通过端到端构建过程的一组指标,对构建过程进行洞察和分析
Ruby Gems和Python Wheels支持
从这个版本,Xray支持索引和扫描红宝石的宝石而且Python的轮子包。这种支持包括:
- 递归分析与全分量图集成
- 组件元数据,包括版本、许可证和校验和
- 手动管理的安全漏洞
OAuth集成
除了SAML/LDAP身份验证功能(在选择身份验证提供程序后启用)之外,Xray还集成了OAuth。这允许您将身份验证请求委托给外部提供者,并允许用户根据身份验证提供者中的OAuth配置,使用他们在这些提供者中的帐户登录到Xray。
手表违规搜索
现在可以了过滤手表违规使用新的搜索机制,根据文本,创建的日期,类型,严重性和CVE ID。
SSO支持
从x射线2.1,SSO支持已添加,并允许您使用存储在Authentication Provider Artifactory实例中的一组用户凭据登录到所有JFrog应用程序。当应用SSO时,用户使用一组预定义的凭据登录到JFrog产品,并被授予对JFrog产品的全面访问权。hth华体会最新官方网站SSO消除了每次访问产品时重新输入凭证的需要。
用户体验改进
- 监视和组件违规网格现在包括确切的受感染组件版本以及受影响的工件名称和版本。
- 违规影响分析视图中的组件现在是可单击的,并将指向相关的组件详细信息。
问题解决
- 手表违规排序现在按预期工作
x光2.1.2
2018年6月13日上映
问题解决
- 修正了数据库离线同步无法成功完成的问题。从这个版本开始,离线数据库的同步要求JFrog CLI版本为1.16.2或更高。
x光2.0.0
2018年4月16日上映
突出了
x射线高可用性
JFrog x射线2.0介绍了一个高可用的双活集群架构,确保软件包的持续安全和治理。
提高绩效和弹性
现在,您可以根据需要使用任意多的节点来扩展您的x射线环境。这通过负载均衡器将所有工作负载分配到可用的集群节点,从而增强了Xray的性能。
如果一个或多个节点不可用或无法升级,其余节点将共享负载,确保最佳的弹性和正常运行时间。
自动同步
Xray无缝地、即时地同步所有数据、配置、缓存对象和所有集群节点上的预定作业更改。
加强监控
Xray的自我监控机制(它为您提供系统可用性问题)现在得到了增强,可以让您知道哪个节点受到了影响。
此外,Xray将在一个名为“高可用性”的新页面中提供集群健康信息,显示每个节点和每个微服务的健康信息。
简单的HA设置
Xray允许您在几分钟内轻松安装完整的HA集群,或升级现有的Xray环境。
功能增强
观看违规视图
除了在组件详细信息视图中查看策略违规外,Xray UI还增强了新增违规视图它显示特定手表上下文中定义的所有违规。
x射线自动升级
Xray现在可以通过“使用默认值”参数自动升级,无需任何手动脚本输入。此参数用于新安装使用默认配置,用于升级使用现有配置。
CVE组件搜索
Xray现在允许您搜索组织中受特定安全漏洞CVE id影响的组件。
x光2.0.1
2018年4月23日上映
问题解决
- 修正了在查看某些手表违规时,触发违规的组件的名称不显示的问题
- 修复了一个阻止在云原生环境(如Kubernetes)上设置Xray HA的问题
- 修正了一个阻止从Xray 1升级部分Docker安装的问题。x到x射线
x光2.0.2
2018年5月6日上映
问题解决
- 修复了包含Docker图像的构建相关的多个问题
1.12 x光
2018年3月28日上映
突出了
改进与Artifactory的集成
JFrog Xray 1.12与JFrog Artifactory 5.10联合发布,在如何集成这两个互补的应用程序以提高可用性和稳定性方面做出了重大改变。
先升级x射线
对于JFrog Artifactory 5.10和JFrog Xray 1.12的联合发布,我们强烈建议首先将您的Xray安装升级到1.12版本,然后再升级Artifactory。
扫描状态
以前,工件的扫描状态存储在Artifactory中,方法是用一组属性(如索引状态、上次更新、最高漏洞严重程度和块状态)注释工件。从这个版本开始,这些属性将被删除。当在树浏览器中选择工件时,Artifactory将根据需要获取工件的扫描状态。
这是一个突破性的变化,限制了Artifactory和Xray版本的兼容性,如下表所示:
| x光版本 | |||
|---|---|---|---|
| 1.12 + | < 1.12 | ||
Artifactory |
5.10 + |
由于Artifactory和Xray都进行了升级,新的集成功能完全符合设计。 |
在这种组合中,集成将无法工作,因为新版本的Artifactory将查询Xray的扫描状态,然而,旧版本的Xray没有所需的REST API端点。 |
| < 5.10 |
支持这种组合。Artifactory将继续显示每个工件的扫描状态,但是,它将使用先前使用属性的机制。 |
如果Artifactory和Xray都没有升级,集成将使用之前的机制工作,该机制将扫描状态显示为工件上的一组属性。 |
|
改进的下载阻塞
从这个版本开始,Artifactory已经删除了下载阻塞,取而代之的是,在Xray中配置为手表上的“阻止下载”动作。这将创建一个更加直观和一致的工作流,使您能够完全控制在一个地方有冲突的工件上的所有操作。
更好的构建控制
以前,Artifactory中的所有构建都是通过x射线索引的,这可能会导致视觉混乱,因为快照等不太重要的构建也会被索引。在这个版本中,Xray允许您选择要索引的构建,让您将分析重点放在更重要的构建过程上。
对构建重新应用索引
在升级到Xray 1.12的过程中,从所有构建中清除索引。要重新应用索引,需要显式地对您选择的构建应用索引.
组件驱动的工作流:监视违规
以前,Xray以警报的形式将漏洞引起您的注意。但是,由于警报可能会聚合多个问题,每个问题可能会影响多个工件和构建,因此很难理解影响特定组件的所有问题。继续Xray向组件驱动工作流的发展,这个版本引入了看违反.
手表的违规行为会直接显示在组件的细节面板使其易于识别影响组件的所有安全、许可和自定义问题。
支持附加包类型
从这个版本,Xray支持索引和扫描Gradle, Ivy和SBT包。
x光1.12.1
2018年4月2日上映
问题解决
这个补丁修复了在1.12版本中发现的这些问题:
- 修复了当Artifactory版本低于5.10时,在远程存储库上创建手表时,“块下载”操作无法工作的问题。
- 修正了在使用低于5.10的Artifactory版本时,删除自定义问题不影响“块下载”操作的问题。
- 增加了通过配置参数自动索引所有构建的功能。
1.11 x光
2018年2月18日上映
突出了
为组件分配OSS许可证
此版本提供了这些高级功能OSS许可功能:
- 为组件分配自定义许可。
- 查看产生的license文件的来源——custom、JFrog或本地文件。
- 查看许可证是否被直接分配给组件或传播到父组件,并且是它们的许可列表的一部分.
失败的消息
x射线现在显示所有的影响分析和伪影扫描失败在新的失败信息页面,在Admin模块中。这个页面为管理员提供了一个单独的位置,他们可以轻松地识别扫描和影响分析x射线过程中失败的确切步骤,允许他们修复问题并重试该步骤。
1.10 x光
2018年1月2日上映
突出了
Grafeas API
项目Grafeas定义了一种开放的、统一的元数据交换格式和API,它将创建一种统一的、一致的方式来从软件组件生成和使用元数据。通过完全支持Grafeas API, Xray充当了Grafeas的门户,为您的软件供应链提供了空前丰富的元数据,可以轻松地将其用于自动化审计和治理过程。这个版本的Xray公开了一组完全集成到Xray REST API中的Grafeas端点。
数据库外部化
Xray与许多第三方服务一起工作,例如各种数据库,这些数据库之前是与其他Xray微服务一起预安装的。从Xray 1.10开始,你可以更好地控制你的资源分配,你可以指导Xray在你的组织中使用外部RabbitMQ、MongoDB或PostgreSQL数据库。请记住,如果您指示Xray使用外部数据库,您可以完全控制数据库,并完全负责维护和备份数据库以供Xray使用。
改进的数据库同步
数据库同步得到了显著改进,从而实现了更流畅的工作流程、数据压缩和性能提升。增强的压缩和性能提高了暂态网络问题的稳定性和鲁棒性。根据您的硬件、网络和其他因素,这可能会将性能提高70%。
扩展的IDE集成
除了用户界面的改进,除了现有的Maven包格式外,还支持扫描Gradle和npm包格式。
问题解决
- 改进了Alerts页面的性能。
- 修正了一个问题,即忽略规则不获取时,他们的相关手表被删除。
- 修正了一个事件微服务崩溃的问题,由于一个缺失的校验和返回的属性搜索构建的项目。
- 修复了部署的SHA256值相同的Docker映像卡在分析重试队列中的问题。
- 修正了x射线API“更新用户”命令不更新用户并返回404错误的问题。
x光1.10.1
2018年1月4日上映
此版本包括集成和权限页面中的UI显示问题修复。
1.9 x光
2017年12月3日上映
突出了
通过外部提供者进行身份验证(LDAP、SAML、Crowd等)
通过添加通过企业LDAP/Crowd或SAML提供商验证用户的能力,Xray中的用户管理已经大大简化了。您所需要做的就是将一个连接的Artifactory实例定义为“身份验证提供者”。这允许您将LDAP/Crowd、SAML和内部Artifactory用户和组从指定的Artifactory实例导入到Xray,然后根据需要为他们分配权限。
权限管理
该版本引入了灵活的权限模型,允许管理员对用户和组如何访问Xray的不同特性进行细粒度控制。“2022世界杯阿根廷预选赛赛程资源”定义了权限的范围,并在连接的Artifactory实例中指定了应用权限的存储库和构建。然后,您可以指定用户和组(在Xray中内部定义或如上所述从连接的“身份验证提供者”导入),并授予他们所选资源的特权。2022世界杯阿根廷预选赛赛程
功能增强
改进大规模环境的索引和分析性能。
改进了Javascript文件的索引和分析过程。
改进了数据库进程,显著提高了某些递归查询的性能
问题解决
修复了x射线无法删除移动到RabbitMQ故障队列中的文件的问题。
修复了在Docker镜像中识别操作系统层及其安装包的几个问题。
修复了导致RabbitMQ在大规模环境中加载大量消息而耗尽可用内存的问题。
1.8 x光
2017年7月13日上映
突出了
内容驱动的工作流
Xray目前的工作流程是事件驱动创建带有无状态信息的警报;即时构建和组件的快照。在这个版本中,我们增加了对新的、更直观的内容驱动工作流程的支持选项中显示的问题组件你感兴趣的。这对你如何导航到最相关的内容有很大的影响。高层流程可以总结为:
搜索组件→深入挖掘→检查问题
增强的搜索:Xray现在提供了增强的搜索,允许您通过一组搜索过滤器(如包类型、问题严重性、版本等)搜索特定的组件。
丰富的组件显示:从搜索结果中,您可以选择感兴趣的组件,并查看提供所选组件所有版本详细信息的丰富显示
检查问题:从组件显示中选择任何问题,将提供关于该问题的详细信息,以及它所影响的所有工件和构建的列表。
补救建议
除了提供受感染组件存在漏洞的完整版本列表外,内容驱动工作流中的富组件显示还指示已修复漏洞的版本(如果可用),并建议升级到该版本
JFrog IntelliJ IDEA插件
与JFrog IntelliJ IDEA插件,您可以使用Xray扫描Maven项目依赖项并查看漏洞在开发期间直接从IntelliJ IDE。IDE集成支持将继续扩展到其他行业标准IDE,以及附加的包格式。
TeamCity的集成
JFrog x射线扩展它的CI / CD集成的支持TeamCity,使你可以扫描构建,生成报告,甚至失败的构建作业,如果他们使用的组件有已知的漏洞。这是防止带有漏洞的构建进入生产系统的有效方法。
增强的漏洞数据
基于改进的算法和启发式,将来自不同来源的数据关联和匹配到正确的组件和版本,原始漏洞数据的处理得到了极大的增强。这个新的数据模型提供了更多、更准确的漏洞详细信息,如受感染的版本范围、修复版本等。它还允许更好地识别受感染的组件。在Maven组件的情况下,漏洞数据已经被完全替换,并在加载到数据库之前进行手动管理,从而获得更好的覆盖率和更少的误报。
请注意,您需要执行数据库同步(无论您是在联机或脱机模式下工作)来处理增强的漏洞数据。
功能增强
提高扫描性能
扫描新构建和工件的性能已经显著提高到数量级。由于这是最常见的过程,Xray执行的改进结果在整体上更敏感。特别是,Docker图像分析的性能和准确性得到了极大的提高。
在构建中支持Docker映像
现在,构建中包含的Docker映像会被扫描和索引,就像任何其他构建依赖项一样。
问题解决
- 修正了x射线将组件列为“未知”许可证的问题,即使特定的已知许可证已被识别。
- 修复了一个带有漏洞的npm依赖项即使在Artifactory中的托管库设置为阻止下载时也会被下载的问题。
x光1.8.0.1
2017年7月17日上映
问题解决
- 修正了升级x射线到新版本时可能导致数据库迁移缓慢的问题。
x光1.8.1
2017年7月31日上映
问题解决
修正了x射线分析过程中导致组件许可数据被多次保存的问题,可能会消耗大量内存和磁盘空间。
修正了警报中的许可证问题没有影响路径的问题。
SaaS用户现在将收到带有默认邮件服务器配置的电子邮件通知。
x光1.8.2
2017年8月3日上映
问题解决
问题和它们的状态,包含在构建中的Docker映像中,现在正确地传播。
x光1.8.3
2017年8月22日上映
功能增强
- x射线现在让您选择一个自定义的位置为您的x光数据而且PostgreSQL安装或升级过程中的目录。
- Xray已经经历了系统范围内的性能改进,可以在几个屏幕上看到,包括组件,问题在组件详细信息中,警报,安全报告和更多。
- 在查看组件详细信息时,您可以过滤组件所显示的问题总结字段。
- 的报告模块在UI显示和性能方面进行了几次改进
问题解决
修正了一个问题所有警报页中的警报即使出现警报,屏幕也会显示为空。
x光1.8.3.1
2017年8月24日上映
问题解决
修正了组件搜索中某些过滤器选择不返回所有适用结果的问题。
- 修复了Artifactory实例详情页面中“取消”按钮的问题。
- 修正了升级到Xray 1.8.3时数据迁移无法正常运行,导致日志文件中出现许多错误的问题。
x光1.8.4
2017年9月25日上映
此版本带来了重要的OSS许可证功能,以提高许可证覆盖范围,包括从文件中解析许可证,许可证内容分析和GitHub许可证匹配的能力。
功能增强
- Xray现在将支持从所有流行的许可证文件约定中解析OSS许可证信息,例如“*”。Pom和license.txt元数据文件。
- 通过分析许可证内容并将其与已知的许可证类型进行比较,现在将使用额外的匹配逻辑层来帮助分类更多可能略有修改的OSS许可证。
- Xray现在能够从GitHub获得带有GitHub页面的组件的许可信息。
Xray安装程序现在支持将安装/升级输出写入安装程序日志,以便更好地跟踪。
问题解决
当不能识别许可证时,许可证选项卡现在将在选项卡头部显示“0”。标识为“未知”的许可证将在组件详细信息页面中包含适当的占位符。
- 更好地处理与相同组件id关联的多个文件。
Xray Docker安装不再需要root权限来运行。
于x光1.8.5
2017年10月17日上映
功能增强
- 工件校验和匹配除了已经支持的组件id匹配之外,x射线现在通过校验和匹配提供更准确的结果。这对于没有附加适当组件id的文件特别有用,比如Javascript文件。
- 分析过程中的性能改进和内存消耗增强.
x光1.8.6
2017年10月19日上映
问题解决
- 修正了一个问题,当x射线的索引过程将失败,在某些情况下,临时文件将不会被删除,这可能最终耗尽文件系统上的可用存储。
1.7 x光
2017年4月20日上映
突出了
新主页:的x光首页Page被完全重新设计为一个提供大量有用信息的仪表板。一目了然,了解您的系统总体健康状况,获得组件和警报的概述、系统扫描状态、数据库同步状态等。
功能增强
用于组件搜索的包类型过滤器:组件页面现在包含一个包类型筛选器,可以让您专注于特定的包类型,从而更容易搜索特定的组件。
问题解决
- 如果删除了外部集成,Xray现在也将删除与该集成相关的任何警报
- 查看时,自定义问题现在与安全漏洞一起聚合组件的细节以及REST API响应。
- 修复了Artifactory中与x射线索引状态相关的属性更新问题。
x光1.7.1上
2017年4月24日上映
问题解决
- 修正了文件路径有时会导致错误位置的问题。
- 修正了组件许可证迁移的问题。
x光1.7.2
2017年6月5日上映
功能增强
- x射线现在添加一个时间戳指示来构建快照。这确保了每个快照都有唯一的名称,从而更容易使用快照。
- 当更新到新版本需要迁移数据库(这可能需要一些时间)时,Xray现在将显示升级的进展情况,并在升级失败时提供错误信息。
- Xray的日志记录功能已经得到了改进,因此如果您想更改任何服务的日志级别,您不再需要重新启动Xray。
- Xray的搜索得到了增强,除了包类型,您现在还可以根据组件类型(构件或构建)筛选搜索。
问题解决
- 修正了一个问题,阻止创建自定义问题,由于解析时间戳时出错,其中包括Z时区指示器。
- 修复了x射线无法在Artifactory中标注名称中包含特定特殊字符的工件的问题。
- 修正了当基本URL被修改时,连接的Artifactory实例的配置描述符中的x射线基本URL不会被更新的问题。
- 修正了一些工件的状态即使在扫描后也不会被修改的问题,因此,当Artifactory为未扫描的工件启用下载阻止时,它们的下载会被阻止。
x光1.7.2.1
2017年6月6日上映
问题解决
- 修复了在1.7.2版本中引入的在某些情况下会导致数据库连接泄漏的问题。
x光1.7.2.2
2017年6月8日上映
问题解决
- 修正了一个问题,阻止Xray同步其数据库和索引工件由于太多的空闲连接到其PostgreSQL数据库。
x光1.7.3
2017年6月25日上映
增强
x射线现在支持设置系统日志级别而不需要重新启动Xray服务器。
问题解决
1.6 x光
2017年1月18日上映
CI / CD集成
JFrog Xray在您的CI/CD管道中扮演积极的角色,如果您的构建或任何依赖项存在漏洞,则指示您应该失败构建作业。您的CI服务器(目前支持Jenkins CI)现在可以向Xray发送请求以扫描上传到Artifactory的构建。根据您可能定义的Watches, Xray将扫描构建,如果发现触发警报的漏洞,Xray现在可以向查询CI服务器响应构建作业应该失败。
主要更新
- 构建作业失败如果构建工件或其依赖项包含漏洞,请根据观察规范。
- 手表将“通知”替换为“通知”的UI更改行动,并添加了Fail Build Job操作以支持CI/CD集成
- “所有构建”已经添加了一个新的目标类型对于手表,您可以指定所有上传到Artifactory的构建都通过x射线扫描,而不仅仅是您配置到手表中的特定构建。
x光1.6.1
2017年1月25日上映
主要更新
- 导致工件索引失败的问题已被修复。
x光1.6.2
2017年2月12日上映
防止暴力攻击
x射线已经配备了登录协议,以防止暴力攻击。当x射线遇到同一用户多次尝试登录时,x射线会稳步增加用户再次尝试登录前必须等待的时间间隔。在特定次数的失败登录尝试后,用户将被锁定他的帐户。此时,登录只能由x射线管理员重置。管理员可以完全控制登录失败的次数,从而将用户锁定。
系统日志
x射线管理员现在可以查看x射线系统日志文件管理模块,具有过滤来自Xray背后不同服务的日志消息的能力。
主要更新
- 当配置代理服务器时,阻止x射线到达全局数据库服务器的错误被修复。
- 将全局数据库同步到Xray时的性能得到了极大的改进。对于第一次同步和定期更新来说,整个过程的时间都大大减少了。
- 增加了一种机制,以防止暴力攻击x射线锁定用户多次登录失败。
- 当升级档案被提取到与之前版本相同的文件夹时,阻止升级的错误已被修复。
- 工件的影响路径现在显示为完整路径,包括Artifactory实例和托管受影响工件的存储库。
- x射线日志现在可以由管理员在管理模块系统日志页面。
x光1.6.3
2017年3月7日上映
主要更新
- Xray的分析过程性能有了很大的提高
- 生成安全报告已经有了很大的改进,特别是对于索引了数千个工件的x射线实例。
- 警报现在可以按严重程度排序,当查看细节对于选定的警报,选项卡标题还显示其严重性。
- 列表中遗漏了一些受影响工件的错误安全报告已被修复。
- 其中的一个bug离线数据库同步由于没有找到组件而失败已被修复。
- 扫描过程的性能有了很大的提高
- 在浏览组件的细节页面,显示其子组件的漏洞和许可。
x光1.6.4,
2017年3月14日上映
主要更新
- 导致代理服务器功能失败的问题已被修复。
x光1.6.5
2017年3月22日上映
主要更新
- 改进索引和扫描过程的性能。
- 改进安全报告的生成性能。
1.5 x光
2017年1月4日上映
依赖关系图api
JFrog Xray将其依赖关系图公开给任何访问其REST api的外部源。通过一个简单的REST API调用,您现在可以接收作为JSON对象的任何组件或构建的完整依赖关系图,或者比较任何两个组件或构建的依赖关系图,以清楚地指出它们之间的差异,并轻松地研究可能引入问题和漏洞的新依赖关系。
编辑系统手表
当Artifactory中的存储库被配置为阻止下载时,将创建系统监视。为了在何时生成警报方面提供更大的灵活性和更好的控制,Xray管理用户现在可以编辑系统监视。
未知的许可证
处理使用未知许可证的组件是您组织的策略问题。x射线现在允许您指定这些组件是否应该触发警报。
主要更新
- 依赖关系图api允许你得到任何的关系图工件或构建,并比较任意两个工件或构建.
- 系统表现在可以由管理员用户编辑。
- 允许和禁止使用的License过滤器现在允许您指定“Unknown”,以便您可以决定具有未知许可证的组件是否应该触发警报。
- 当索引Docker映像时,Xray现在也在映像操作系统层索引Debian和RPM包。
- 的新员工培训向导UI在可用性方面得到了改进,并允许就地索引选定的存储库。
- 的安全报告显示得到改善。
x光1.5.1
2017年1月9日上映
主要更新
- 修正了导致数据库连接泄漏的问题
- 修正了gzip文件头无效的处理问题
x光1.5.2
2017年1月10日上映
主要更新
- 修正了一个阻止微服务写入系统日志的问题
1.4 x光
该片于2016年12月20日上映
安全报告
JFrog Xray添加了一个新的报告,向您显示哪些漏洞在代码中具有最深远的影响,代码库中的哪些组件报告的漏洞最多,以及最近检测到的漏洞和受感染的组件。
黑鸭集成
JFrog Xray已经与黑鸭软件集成,成为一个新的外部漏洞提供商。Black Duck通过帮助您遵守开源许可证要求,并提供关于在开源组件中发现的漏洞的安全警报,从而自动化保护和管理开源软件的过程。
主要更新
1.3 x光
2016年12月4日上映
提高新员工培训
新用户体验在几个方面得到了改进,包括一个向导,指导您完成配置Xray的第一个基本步骤。
集成
集成UI已被修改为更加灵活和有效地适应与外部问题和漏洞提供者的任意数量的集成。
工件和构建摘要REST API
工件和构建摘要REST API端点提供了关于工件或构建的一般信息,以及与之相关的问题和OSS许可的聚合列表。
主要更新
1.2 x光
该片于2016年11月6日上映
许可证的报告
生成一个报告,显示由Xray索引的工件所使用的开源许可证的分布,以及它们对系统中所有监视中定义的“允许许可证”和“禁止许可证”过滤器的遵从性。
系统状态
Xray现在监视各种系统参数并报告它们的状态,让您轻松诊断问题。
问题过滤器
您现在可以基于与索引工件相关的问题的最小严重性在手表上创建过滤器。
主要更新
1.1 x光
该片于2016年9月22日上映
对Artifactory旧版本的支持
JFrog x射线现在支持所有版本的JFrog Artifactory从v4.0及以上
与全局数据库服务器同步
以前,Xray会在设置的时间间隔内自动与全局数据库服务器同步。为了更好地控制系统资源的使用,现在可以手动调用初始同步并使用全局数据库服务器进行更新,并在必要时暂停/2022世界杯阿根廷预选赛赛程恢复同步。
支持非docker安装
除了Docker之外,JFrog Xray现在还可以安装在各种不同的版本中,包括Ubuntu、CentOS、Red Hat和Debian。
支持下载阻断
JFrog Xray将在JFrog Artifactory的任何连接实例中注释已经被识别出有问题的工件,以便Artifactory管理员可以阻止该工件的下载。
与Aqua的集成
如果您拥有Aqua的帐户,此集成允许您使用Aqua API密钥启用他们的提要作为警报源。
OSS License策略
现在,您可以通过基于OSS许可证白名单或黑名单为手表定义过滤器来实现OSS许可证策略。系统中任何未通过您定义的过滤器的组件都将生成警报。
主要更新
- 支持旧版本的Artifactory - v4.0及以上
- 对资源的可见性和控制2022世界杯阿根廷预选赛赛程与全局数据库服务器同步
- 支持Linux安装
- 支持下载阻塞
- 支持手动调用和操作同步使用全局数据库服务器
- 集成阿卡
- OSS许可策略
- 连接到Artifactory通过HTTP代理.
1.0 x光
2016年8月1日
JFrog为第一个正式发布的JFrog x射线1.0而自豪。基于几周前发布的前一个“预览”版本所收到的客户反馈,这个版本呈现了巨大的变化。
简单的新员工培训
开始使用Xray的整个入职过程都在Xray内部完成。这包括添加Artifactory实例、为索引指定存储库、触发索引和获取索引进程的状态。
统一的分析
监视和警报现在可以聚合执行的所有类型的分析。您只需定义感兴趣的上下文看(存储库、构建或所有工件),并查看在结果警报中检测到的问题和受影响的工件的聚合信息。
专注于最相关的问题和警报
现在,您可以选择忽略已解决的警报或问题,或者对于特定警报实例或永久警报,您不感兴趣。
集成
虽然JFrog Xray预先配置了一个问题和受影响软件构件的数据库,但它也可以与其他漏洞提供商集成。该版本能够添加Whitesource,这是一种简单但功能强大的开源安全和许可证管理解决方案。
手动调用扫描
一个新的看将只应用于新的工件或在创建之后出现的问题。这个版本增加了手动运行分析和应用新分析的能力看关于现有工件和问题。
主要更新
x光1.0.2
2016年8月11日
这是一个小更新,修复了索引问题,并增加了对x射线消耗的存储的限制。
主要更新
- 修正了在某些情况下导致索引过程终止的问题。
- Xray现在限制了它在下载工件索引时使用的存储空间。
x光预览
2016年7月3日
JFrog自豪地发布JFrog x射线!
JFrog Xray执行通用工件分析,递归扫描二进制包的所有层,以提供彻底的透明度和对软件架构的无与伦比的洞察力。JFrog x射线适用于大多数包格式,并与JFrog Artifactory完全集成。
首页
主屏幕是你的仪表板,在这里你可以监控Artifactory实例所连接的x射线,组件图形和警报。
手表
手表监视工件的问题,并在发现任何问题时触发警报。一个扫描watch监视Artifactory中的已命名构建或存储库,并在发现任何存在问题的依赖项时触发警报。一个影响分析watch监听所有供应商向x射线传输的信息,并对其数据库中的所有组件执行影响分析,以报告任何问题。
警报
警报提供关于在任何组件中发现的任何问题的详细信息,显示组件层次结构中的完整感染路径。
组件
查看存储库中的组件关系,以了解一个组件如何影响其他组件。
REST API
通过丰富的Xray REST API自动化组件分析。
概述
内容的工具
修正了一个阻止创建复杂组件影响分析图的问题。