自动检测试图潜入构建的漏洞
安全漏洞、许可证问题和拒绝服务攻击都是将您的生产系统每天置于高风险中的漏洞!JFrog Xray通过为您执行工件分析,在代码受到损害之前启用漏洞检测,使您的工作更轻松。如何自动化这个分析过程并将其集成到您的CI/CD中呢?这当然可以帮助您管理Xray暴露的许多漏洞,下面介绍如何做到这一点。
JFrog Xray让您创建手表触发警报,为您提供所需的数据,可直接从其友好的UI中访问。然而,有许多构件构成了构建,这可能会转化为许多难以手动处理的警报。为了促进自动化,Xray提供了一个广泛的REST API这让您可以自动化您的流程。
Xray提供了许多REST API调用,这些调用将改善您的自动化体验,并使您无需访问UI即可获得所需的信息。
我的建筑里有什么?
我们要看的第一个功能是创建图任何被x射线索引的工件或构建。这显示了工件/构建由连接组成,表明它对系统中的其他工件/构建的影响。这些是工件组件图和构建组件图api获取我们的工件(包括存储库和Artifactory ID)和构建数据(包括构建名称、编号和Artifactory ID)的完整路径。响应JSON文件包含请求的工件/构建的基本细节,以及其中包含的所有组件,这些组件以分层(树)结构呈现。这些API调用与组件的细节以及依赖关系图,这些依赖关系也可以从UI中获得。
Diff不再为源代码保留
另一种能力是比较2个工件或构建(即做一个“diff”)工件依赖性增量和构建依赖增量api。这使您能够识别两个构件或构建之间的差异,从而将重点放在具有触发警报的漏洞的新组件上。答复包括3个部分:
- 工件包含在一个构建(“目标”)中,而不在另一个构建(“源”)中。
- 相反——工件包含在另一个构建(“源”)中,而不在第一个构建(“目标”)中。
- 这两个构建共有的工件
这提供了两个构建之间差异的清晰表示,使您能够准确地确定问题所在。
给我总结一下!
最后,让我们用工件的总结和建设总结api提供了针对特定工件/构建的详细摘要.这包括工件/构建中包含的许可证和漏洞列表。此外,每个许可证和漏洞的受影响组件列表。此信息也可在好几个地方从UI内部。
结合这些REST API调用可以生成一些非常酷的数据分析实现,用于漏洞检测。例如,您可以找到依赖关系版本冲突,并确定哪些组件升级可能在登台环境甚至生产环境中造成了问题!
