拉斐尔Zaafrani
2023-01-22 11:06

x光3。X快速入门指南:

首先要知道的是x射线是相当资源密集的，因此你将需要满足以下条件系统需求确保适当的性能。

用户添加图片

一旦你有了一台符合规定要求的机器，就按照规定来做本指南安装x射线。

现在Xray已经安装并连接到Artifactory实例，您就可以开始了!

1.数据库同步:

设置Xray实例时要做的第一件事是触发数据库同步。JFrog工程师已经将来自内部漏洞研究以及私有和公共数据库的信息汇总到一个数据库中。这是所有x射线扫描结果的基础，因此，在数据库同步成功完成之前，x射线扫描不会提供有效的扫描结果。

您可以从下面的Artifactory UI手动触发数据库同步管理→x光→设置→常规→数据库同步

用户添加图片

从那个菜单，你可以检查你的DB Sync的状态，如果它还没有启动，你可以通过按下面的按钮来触发它。

用户添加图片
请注意，虽然第一次同步将是相当密集的，需要很长时间，所有后续的同步将是快速的，几乎不明显。

为了向表中添加存储库或构建，首先需要将它们添加到索引资源中。2022世界杯阿根廷预选赛赛程您可以从下面的Artifactory UI到达Ind2022世界杯阿根廷预选赛赛程exed Resources管理→x射线→设置→常规→索引资源2022世界杯阿根廷预选赛赛程

用户添加图片
从菜单中，只需按右上角的“添加存储库”，然后从下面截图所示的弹出菜单中，选择您希望Xray能够访问的存储库。

用户添加图片
如果您想索引构建，方法与左上角的Build选项卡下的方法相同。但是在Build Indexing菜单中，您可以选择按模式索引构建。您可以学习如何为所有构建建立索引这篇文章．

下面我将给出策略和手表的简单概述。您可以在本文中找到更详细的信息:创建x射线策略和规则"．

策略是安全或许可证遵从性规则的无上下文集。他们决定在扫描中标记什么。
要开始并创建新策略，请在UI中导航到管理→x射线→手表和政策，选择新政策

用户添加图片
在那里，您可以在三种类型的保单中进行选择。

每种类型的政策都有自己特定的一组规则:

1.安全:

与漏洞分析相关的规则集。

最小严重程度(Minor, Major, Critical, All): JFrog漏洞数据库中的最小安全漏洞严重程度。如果工件或构建包含具有所选严重性或更高级别的漏洞，则规则将满足条件，自动操作将被执行，策略将停止处理。
CVSS评分(1-10):应用于规则的CVSS评分范围。这用于细粒度控制，而不是使用预定义的严重性。分数范围基于CVSS v3评分，如果CVSS v3评分不可用，则基于CVSS v2评分。
仅当有固定版本时才生成违规:对于不包含固定版本的问题，Xray不会生成违规。如果以后有一个固定的版本可用，则会生成冲突。

2.许可:

一组规则，让您决定在构建中允许或禁止哪种类型的许可。

允许的许可证:指定可以附加到组件的OSS许可证的允许列表。如果某个组件的OSS许可证在指定的Allow List之外，则该规则将满足条件，生成一个违规项，自动执行动作，策略将停止处理。
禁止的许可证:禁止列表的OSS许可证不能附加到一个组件。如果组件指定了任何OSS许可，则规则将满足条件，将生成一个违规行为，将执行自动操作，并且策略将停止处理。
禁止未知许可:对于无法确定许可的组件，指定需要的行为。如果发现一个组件的许可证未知，就会触发一个违规。

3.操作风险:

组件操作风险是指在项目中使用过时或不活跃的开源软件组件的风险。