x射线快速入门指南

帕特里克·罗素
2022-11-09 08:14

x射线安装快速入门指南

相关版本此信息与…有关x光2。X
查找有关x射线3的信息。X遵循本指南

最小规格

硬件

  • 存储:至少100gb
  • CPU处理器: 8芯
  • 内存: 16gb

存储

  1. 为了扫描包,Xray将整个工件下载到其本地磁盘。
  2. Xray的漏洞数据库大约需要16gb,并且会随着时间的推移而增长
  3. 推荐的设置应该将100 GB以上的磁盘挂载到文件系统的根目录。对于RPM和Debian安装,Xray的系统文件将分布在/ var/ opt目录。

外部数据库(可选)

x射线需要两个数据库来存储它的扫描历史和漏洞。Xray的安装程序可以自动设置。如果需要外部数据库,请在安装Xray之前安装它们。

Xray需要这些特定版本的Mongo和PostgreSQL:

  • MongoDB版本3.2.6
  • PostgreSQL版本9.6.11

安装x光

Xray的安装程序将自动安装四(4)个Xraymicroservices三(3)外部服务

Microservices

  • 服务器: web服务器前端
  • 索引器:解压缩二进制文件
  • 分析:检查解压缩的二进制文件是否违反许可证/安全规定
  • 坚持:将分析结果保存到PostgreSQL数据库

外部服务

  • MongoDB:工件许可证/漏洞数据库
  • PostgreSQL:扫描历史数据库
  • RabbitMQ:协调扫描的消息服务器

下载Xray的安装程序

使用官方的JFrog Xray下载站点拉下正确的安装文件。

您将找到x射线安装包选项在这里。一定要选择一个适合您的设置。注意:CentOS, RedHat, Debian,Ubuntu安装程序是完整的二进制文件,可以安装在离线气隙环境中。的码头工人安装程序是一个SH脚本,它将从docker.bintray.io。

运行安装程序

〇RPM安装RedHat / CentOS
。/ installXray-redhat.sh
DEB安装- Ubuntu / Debian
。/ installXray-ubuntu.sh
码头工人安装 
。/ x光安装

下面的答案是示例安装答案-这些选项是默认的:

2019-07-24 21:35:11 [227 installXray-ubuntu.sh]开始x射线安装
验证x射线先决条件…
[…]
2019-07-24 21:35:16 [489 installXray-ubuntu.sh]首次安装时必须设置Xray数据
提供x射线数据文件夹[/var/opt/jfrog/ Xray /data]:/var/opt/jfrog/xray/data
[…]
是否将此节点添加到现有集群中?(与第一个集群节点无关)[Y/n]:n
你想安装PostgreSQL实例吗?[Y / n]:y
您想安装MongoDB实例吗?[Y / n]:y
[…]
2019-07-24 21:35:28 [816 installXray-ubuntu.sh] Postgres home必须在Xray首次安装时设置
提供Postgres的主文件夹[/var/opt/jfrog/ Postgres]:/var/opt/jfrog/postgres

x射线准备好了

当你第一次访问Xray的网页时,你会看到一个新员工培训向导这将帮助你通过建立你的x射线<>人工制品连接。

将x射线连接到Artifactory

x射线使用双向连接与Artifactory通信(即,Xray需要能够到达Artifactory,而Artifactory需要到达Xray)。要做到这一点,x射线需要知道两件事:

1.Artifactory通过Xray Base URL连接到Xray:
用户添加图片

2.Xray通过Artifactory URL连接到Artifactory,你将在设置好Xray Base URL后进行配置:
用户添加图片

请注意至于你的……Artifactory Admin用户凭证,一定要使用系统帐户密码不能更改。这是因为,从x射线版本2。x,它的困难在设置密码后更新此密码。

此后,“登录向导”将要求您执行以下操作选择存储库您想添加到Artifactory:

用户添加图片

添加您需要的存储库,但是不要勾选Index existing artifacts复选框。您需要设置x射线扫描工件正确的第一次。

同步你的x射线数据库

一旦x射线连接到人工工厂,你就可以启动了数据库同步。当漏洞和许可证数据库完全同步时,Xray在查找漏洞和许可证方面最有效。

用户添加图片

如果你要使用在线同步选项,请注意它需要连接到上面提到的每个网站wiki页面

3.扫描工件

添加第一个Policy和Watch

x光是几乎准备工作。然而,在索引工件之前,系统需要知道如何处理其扫描结果。否则,Xray将无法进行日志记录安全/许可证违规。因此,您需要定义:

  • 政策决定x射线扫描文件后采取什么行动。
  • 手表确定策略适用于哪些资源。2022世界杯阿根廷预选赛赛程

由于每个组织都有不同的需求,我们只能推荐最佳实践开始的时候是有一个广泛的注意使用单个日志记录策略。这将允许您首先观察Xray在Artifactory上发现的所有违规行为,然后再应用额外的策略/操作,例如阻止下载。因此,您可以:

1.创建一个最初的政策那只会被发现安全漏洞
用户添加图片

2.创建一个这是和这个政策相关联的所有的工件将被扫描:
用户添加图片

扫描Artifactory的工件

现在可以让x射线执行a了数据扫描。通过导航到“管理>配置>人工”并选择配置索引存储库。添加您想要扫描的存储库,然后单击Index Existing:
用户添加图片

x射线会扫描你的藏物你建立的守望会有违规行为需要进一步调查。

Xray Artifactory系统现在将自动扫描上传到监视存储库的任何文件。索引现有按钮扫描存储库中添加到Xray之前的所有内容。

初始扫描完成后:

1.审查结果了解哪些正在使用的包有违规
2.配置手表对于将采取特定操作的特定存储库,例如阻止下载
3.设置一个CI构建来利用x射线构建扫描功能

安装程序故障排除

x射线的安装程序可能失败并返回一个错误消息。如果这两种情况发生在你身上,试试吧删除您尝试安装或安装的软件包,然后再试一次。更多关于卸载Xray的信息可以在这里找到在这里。此后,您可以尝试重新安装Xray。

你也应该查看日志查看是否有其他软件包或配置干扰了您的x射线安装。安装程序将失败记录在installXray——<操作系统>,<时间戳> . log”文件。

如果这些建议都没有帮助,请联系JFrog支持寻求进一步的帮助。当你这样做时,一定要向我们提供一份你的日志文件

故障排除Artifactory <> x射线连接

每个主机都应该可以访问各个url。你可以使用下面的cURL命令来测试:

[x射线主机-> Artifactory URL - " x射线无法连接到Artifactory"]curl http://artifactory.com: 8081 / artifactory / api /系统/平(预期响应)好吧
如果响应是“OK”的“预期响应”,那么用这个成功的URL更新Artifactory URL。
[Artifactory主机-> Xray URL - "Xray可以到达Artifactory,但Artifactory不能到达Xray"]curl http://xray.com: 8000 / api / v1 /系统/平(预期响应){“状态”:“乒乓球”}
如果你看到{"status":"pong"}的"Expected response",用这个工作URL更新Xray Base URL。

扫描问题

x射线使用访问令牌从Artifactory下载文件。为了刷新令牌,Xray使用您的Artifactory Admin用户凭据,上面提到的请注意,在#2下面,在将x射线连接到Artifactory本文档的部分。如果这些凭据自首次创建以来发生了更改,您将看到401错误在你的人工制品日志中。

如果没有扫描历史记录,您可以删除Xray中的Artifactory连接以重置URL或凭据。如果有需要保留的扫描历史记录,您可以按照本指南重置连接在这里