有些情况下，你可能需要x光作为你的SCA工具，标记一个特定的组件，以便将来该组件将被标记，并且可以对它采取操作，例如应用看'或'政策对它说。在这些情况下，您可以创建自定义问题。这可以通过UI (相关文章)或通过REST API。在本文中，我们将使用REST创建自定义问题API。

REST API端点

位于此REST API端点的wiki页面在这里。我将浏览发送到这个端点的json的组件。

下面是一个使用此端点的curl命令示例。这将基于log4j脆弱性cve - 2021 - 44228。

curl - u<管理>”< ART_URL >/xray/api/v1/events " -H " Content-Type: application/json " -data ' {" id ": "Custom-log4j-alert”、“类型”:“安全”,“提供者”:“自定义”、“package_type”:“专家”、“严重”:“至关重要的， " cve ": [{" cve ": "cve - 2021 - 44228”、“cvss_v2”:“9.3， " cvss_v3 ": "10“}),“总结”:“cve - 2021 - 44228”、“描述”:“CVE-2021-44228的自定义问题样本”、“属性”:{},“组件”:[{" id ": " org.apache.logging.log4j: log4j-core”,“vulnerable_versions”:[“(2.0.0,2.12.1)”、“(2.13.0 2.15.0)”]， " fixed_versions ": ["[2.12.2] "， " [2.15.0] "， " [2.3.1] "]}],“来源”:[{“source_id”:“Custom-issueTest”}]}’

取代黄色高亮的Tex使用实例的信息。在本例中，分别是用户名和Artifactory URL。

的橙色高亮文本是自定义问题的id。这是x射线唯一识别问题的方法。

的蓝色高亮部分是我为这个自定义问题设置的严重性、CVE和cvss分数。(我匹配的值从https://nvd.nist.gov/vuln/detail/CVE-2021-44228并设置相应的严重性。)

为摘要与描述，我只是把CVE。如果您愿意，可以在这些部分添加其他信息。

为脆弱的版本，这是我希望标记的易受攻击版本的编译列表(即“2.0.0到2.12.1和2.13.0到2.15.0”是这段代码的翻译)。

请注意，对于这个包，有时版本名不完全适合一个范围。例如“2.0-beta9”或“2.14.0-rc1”。在这种情况下，必须明确地提到它们。即“[2.0-beta9]”，“[2.14.0-rc1]”…
为固定的版本，我已经把CVE中提到的固定版本放进去了。

以下是添加此自定义问题的结果示例截图。这张截图来自Artifactory版本7.38.10和Xray 3.50.3。