博客家

x射线の依存関係とバx射线ナリスキャンを開発環境で

保罗花园

通过保罗花园

5分钟阅读

セキュリティをシフトレフトするということは開発者がsdlcの早い段階で脆弱性とラセンス違反を認識して修正することを意味します。そのため,x射线はビルドによってArtifactoryにプッシュされたバ@ @ナリをスキャンし,依存関係に問題がある場合に警告します。

しかし,コードをチェックする前であっても,それらをより早く認識することはシフトレフトする開発者にとって重要なことです。そこで,x光の機能を拡張し,JFrog CLIからローカルファイルシステムのディレクトリにあるソースコードやバイナリをオンデマンドでスキャンできるようにしました。

これらのユ,スケ,スが必要とされる理由をご紹介します。

  • すべてのバ▪▪▪▪ナリが▪▪▪▪に保存されているわけではない
  • Artifactoryにアップロドする前にビルドの脆弱性とラセンス違反を発見することができる
  • セキュリティ担当者は送られてきたバ@ @ナリをスキャンして確認する必要があるかもしれない
  • 承認されたバ▪▪▪▪ナリのみを▪▪▪▪に配置したい

これらのJFrog CLIの機能により,開発者やセキュリティチームなどはアプリケーションがArtifactoryの信頼できる唯一の情報源の一部となる前に,脆弱性とライセンス違反を防ぐことができます。

x射线依存症スキャン

x射线はJFrog CLIを使用し,ソ,スの依存関係にある脆弱性やラ@ @センス違反をスキャンする機能を提供します。このコマンドラインツールはコンパイル,テスト,Artifactoryへのデプロイを必要とせず,いつでもどこでも実行できるソースディレクトリのスキャンを可能にし,問題に対処するための貴重な時間を節約します。

CLIを使用した場合,x光はArtifactoryリポジトリと同じ方法で依存関係をスキャンします。このコマンドは依存関係で発見された脆弱性やラ▪▪センス違反を含む詳細なスキャンレポ▪▪トを返します。この機能には次のようなメリットがあります。

  • Artifactoryにアップロードする前のビルドに脆弱性やライセンス違反を開発者がコードを書きながら確認できる
  • Artifactoryにアップロードすることなく,アドホックなセキュリティスキャンを実行することができる
  • バイナリやソースをArtifactoryにアップロードする前に承認する必要があるなど,組織の基準を遵守できる
現在,これらのJFrog CLIへの追加機能はMaven, Gradle, NPMパッケージのソーススキャンのみをサポートしています。

どのような仕組みになっているのか?

コマンドラインからスキャンを開始する為にソースファイルを含むトップレベルのディレクトリに変更する必要があります。その後,JFrog CLIコマンドを実行し,ファaaplルのx射线依存性スキャンを行います。

一度に監査を実行できるのは1種類のプロジェクトのみです。ソースコードのMavenプロジェクトのスキャンを実行し,すべての脆弱性を報告する場合は以下になります。

$ jfrog xr audit-mvn


また,x光でポリシ,が適用されたウォッチ,プロジェクト,リポジトリのパスを指定し,x射线のポリシ,ル,ルをスキャンに適用することができます。例えば“watch1で使用したポリシールールのセットをMavenプロジェクトのスキャンに適用する場合は以下になります。

$ jfrog xr audit-mvn——查看“watch1”

処理完了後,デフォルトではこれらのセキュリティとライセンスポリシーに違反する依存関係のレポートが作成されます。

JFrog CLIでは代わりにJSONファイルとしてレポートを作成することができるため,お好みのツールで処理することができます。

x射线オンデマンド·バx射线ナリスキャン

コンパイル後に脆弱性を見つけて修正する必要がなく,時間の節約になるため,開発者個人または組織として開発中のソフトウェアをセキュアにコーディングしたいと思うかもしれません。前出の新しいスキャン機能と同様にオンデマンド·バescナリスキャンを行うためにJFrog CLIを使用します。

ローカルファイルシステムにあるバイナリを指定するだけで,そのバイナリの脆弱性とライセンス違反をレポートすることができます。JFrog CLIはx光がArtifactoryでバイナリをスキャンするのと同様に,バイナリを抽出し,バイナリからコンポーネント・グラフを構成するロジックを含むクローズソース・コンポーネントをカプセル化しています。詳細にいてはx射线安全性和合规性を参照してください。cliはバ。

現在、码头工人のバイナリスキャンはまもなくサポート予定ですが,その他すべてのパッケージタイプでサポートされています。

どのような仕組みになっているのか?

x光オンデマンド・バイナリスキャンを実行する手順はソースファイル・スキャンと非常によく似ています。例えば“watch1で使用したポリシールールをローカルファイルシステムのバイナリに適用する場合は以下になります。

$ jfrog xr ' s path/to/files/"——watch1"


このコマンドは前出同様のセキュリティとラ▪▪センス違反のレポ▪▪トを作成します。同じくjsonファルとしてレポトを生成することもできます。

シフトレフトをシフトレフトする向左

これらの機能は現在のリリースでx光を継続的に強化している方法のうちの2つに過ぎず,脆弱性とライセンスコンプライアンスのスキャンを開発者に更に利用し易いものにしています。最新のapiのエンハンスメントを含むその他の機能にいて,x射线リリ,スノ,トをご覧ください。

ソフトウェアのリリ,スをより安全にするために,まだx光を使用していない場合はJFrogの無料クラウドアカウントから始めましょう

受欢迎的标签