内容驱动组件分析

JFrog x光一年前首次发布。我们的第一篇文章它强调了x射线不仅仅是一种安全扫描工具的原因。在过去的一年里，我们引入了更多的差异化功能，比如下载阻塞，集成更多安全漏洞这样的供应商水的安全，BlackDuck,与您的CI/CD管道集成为了保证构建的安全，不同分量图和一个更多。最后，所有这些特性都生成了有用且有意义的警报，这些警报将指出您正在使用的软件组件中的问题和漏洞。虽然这样做效果很好，但我们在过去一年的观察和与客户的多次会议上发现了我们可以在工作流程中进行的改进。

内容驱动的工作流

之前的工作流是事件驱动的。Artifactory的一个事件触发了扫描，触发了警报。但这导致了无状态警报聚集了许多问题，每个问题都可能影响许多组件。从我们的客户会议中，我们发现x射线用户通常对特定的组件感兴趣;引入到代码库的新工具、构建或依赖项。因此，他们想要一种简单的方法来找到该组件，并查看它是否有任何问题或漏洞。这催生了内容驱动的组件分析;我们在Xray 1.8中添加了一个新的工作流程，是这样的:

增强搜索- >组件下钻- >检查问题

组件分析从增强搜索开始

新组件的搜索允许您提供比以前更多的参数，以便过滤结果并精确地查找您正在寻找的组件。您可以通过组件类型(构建、包或文件)、创建日期、修改日期、最低级别、名称等进行搜索。

丰富组件显示

使用增强型搜索缩小搜索结果范围后，可以选择感兴趣的组件向下钻取获取丰富的详细信息集，包括所有版本、每个版本的问题和漏洞、主要问题严重程度等。

获得一个快速修复版本

当你去看医生的时候，你不仅想知道自己得了什么病;你也想要解药。Xray 1.8丰富的组件显示器就是这样做的。除了提供受漏洞感染的所有版本外，它还提供“修复版本-建议通过升级到已修复漏洞的版本进行补救。

与你的问题近距离接触

从丰富的组件显示中，您可以选择要查看的任何问题详细的信息以及完整的影响分析，以查看系统中受该问题影响的所有其他组件。

还有什么？

虽然新的内容驱动组件分析在二进制文件安全管理方面向前迈出了一大步，但这并不是Xray 1.8所能提供的全部功能。

垃圾进，黄金出

x射线开始时的原始数据很可能被比作垃圾。在不同的来源和不同质量的数据之间，需要进行相当多的处理才能将数据转换为一致的漏洞和问题数据库。在Xray 1.8中，我们对算法和启发式进行了许多改进，这些算法和启发式关联和匹配来自不同来源的数据，提供了关于漏洞的更大更准确的细节。在Maven组件的情况下，我们已经完全替换了漏洞数据，甚至在将漏洞添加到数据库之前手动管理漏洞。结果是一个更连贯和准确的数据库，提供更好的覆盖率和更少的假阳性。

团队成员持续整合

这个版本也扩展了XrayCI / CD集成到TeamCity，这样您就可以扫描构建，并在发现有受感染的组件时使其失效。请继续关注未来关于这方面的更多细节的帖子。

将这些漏洞扼杀在IntelliJ的萌芽之中

预防胜于治疗。我们都知道这一点，所以我们希望尽可能早地在开发过程中发现漏洞。Xray已经处理了生产系统连续二元分析，构建时间CI / CD集成，现在将漏洞分析引入开发阶段。通过直接与IntelliJ IDEA集成，开发人员可以看到他们软件中包含的任何Maven组件的完整分析。这赋予开发人员特权和责任，以评估是否使用受感染的组件。也请关注这方面的帖子。

就是这样。嗯，不完全是。我们还极大地提高了扫描性能，特别是对Docker图像，这提高了Xray的整体响应能力。完整的存储库扫描可以快几个数量级。当然，还有一些常见的错误修复。要了解所有细节，请查看发布说明。

已经在使用x射线了?太好了。想要用内容驱出漏洞。下载最新版本。

不用x光?去吧,试一试。