x射线:如何确定给定工件中有多少漏洞

x射线:如何确定给定工件中有多少漏洞

JFrog鼓励实践DevSecOps。它将使您专注于收集尽可能多的关于工件及其组件的信息。当然，在某些情况下，您需要确切地知道有多少漏洞在特定的工件中有哪些是它们各自的级别严重程度。为了自动做到这一点，让我们看一个容易受攻击的Docker映像的例子，它包含47个高严重性漏洞和89个中等严重性漏洞。

先决条件:

• Artifactory和x光
• 基于unix的操作系统
• Python

设置就绪后，您现在可以生成索引工件中所有漏洞的完整详细列表。要做到这一点，使用工件的总结Xray REST API调用:$ curl -uadmin -XPOST -H "Content-type: application/json" https://:8000/api/v1/summary/artifact . d @artifact-digest.json
在artifact-digest.json，你会想要进入校验和藏物的。在本例中，当扫描Docker映像时，您将需要sha - 1摘要manifest.jsonDocker镜像中的文件。校验和可以在您的Artifactory UI中找到。artifact-digest.json: {
“校验和”:(
“dcea05bc0348712d9cf5b502df5fe7884bd20fd3”
］
}
上面的cURL请求将为您提供一个json格式的包含工件中发现的所有漏洞的报告。但是，由于此报告是作为长单线，它可能很难解析。为了克服这一点，你可以美化的JSON输出Python模块被称为json.tool：$ curl -uadmin -XPOST -H "Content-type: application/json" https://:8000/api/v1/summary/artifact . d @artifact-digest.json|python -m json.tool > out.json
正如在上面的cURL命令中可以看到的那样，您将把一行JSON输出发送到Python模块，然后将易于阅读的输出保存到out.json。

现在，你会有一个正确排序的多行JSON文件，其中包含所有漏洞的列表。你最不想做的就是计算次数严重程度:高方法显示。wcLinux命令:$ cat out。json | grep "\"severity\": \"High\"" | wc - 1
47
同样的道理也适用于"媒介“清规戒律:$ cat out。json | grep ""severity": "Medium""89
上面的命令可以构建到单一的脚本，它将自动报告已被Xray索引的工件中的漏洞数量。

发布日期:2020年7月29日
最后更新:2021年2月8日

关键词:漏洞，漏洞报告，漏洞严重等级