与Snyk不同,JFrog Xray通过与JFrog Artifactory (DevOps的数据库)一起工作,自然地集成在整个软件供应链中,用于工件的分发和消费,并完全集成到DevOps工作流中。它不会停止扫描组件的源代码,还会递归地分析最终的二进制文件或容器映像,以确保扫描所有层(包括可传递依赖项),以查找漏洞和许可证问题。
Snyk将始终需要一个记录系统与它一起工作-就像JFrog Artifactory一样。通过JFrog Artifactory和JFrog Xray之间的本地集成,在工作流上创建可操作的策略非常容易,比如由于策略违反而立即阻止发布过程。
Snyk的用户经常抱怨被警报淹没。Snyk的优先修复机制包括仅基于调用图的可达性分析,这是昂贵的,而且需要在Snyk服务器上重新构建应用程序.这无法与JFrog Advanced Security完成的完整上下文分析相比,后者允许对长漏洞列表进行真正的优先级排序,并处理最终将在生产中出现的相同二进制文件。这为开发人员提供了一个更完整的软件供应链解决方案,与JFrog安全相比,Snyk安全。
