是时候信任你的软件了!
通过
6分钟阅读
JFrog Xray -不仅仅是另一个安全漏洞扫描器。
我们刚刚正式推出了JFrog Xray,并且已经被客户询问为什么我们认为应该使用JFrog Xray而不是$YOUR_FAVORITE_SECURITY_SCANNING_TOOL。x射线像黑鸭子吗?也许就像Docker安全扫描?也许它类似于Sonatype Nexus组件智能?
在讨论这些差异之前,有一个巨大的概念转变需要做。x射线不仅仅是另一个带有普通扫描仪的安全数据库。它是通用的二元影响分析产品。递归分析的能力使Xray独一无二,它是开放和通用的,可以连接到您的安全和许可证数据库或任何其他元数据。不明白我的意思吗?继续读下去,到最后你就会明白了。
现在,在我们成功地确定x射线与传统的安全漏洞扫描器不同之后,比如Sonatype联系组件智能或Docker安全扫描器,让我们比较苹果和橘子,以更好地理解为什么x射线戏剧性地改变了你对二进制影响分析的看法:
1.这不仅仅是关于安全漏洞。影响分析应该是通用.
的确,恐惧可以卖(问问一些政客),但正如罗伊·舍斯托维茨博士准确指出的那样,我们不卖FUD.关于组件,您需要了解和提醒许多不同的指标——许可遵从性、运行时性能问题、bug、架构决策、过时的组件,甚至还有您想要应用的完全特殊的规则,例如检测具有竞争对手IP的组件。是的,还有安全漏洞。
Xray使用内部元数据来源结合外部元数据来源,为您提供真正通用的影响分析。
2.那集装箱呢?!世界上并非所有的软件都是Java(或NuGet或npm)。影响分析应该是通用.
Java主导着软件世界(或多或少),但是今天,很难找到一个只做Java的组织。多语言编程是新的“常态”,然后DevOps将其他类型的软件带到开发人员的餐盘上- Docker, RPM, YUM, Vagrant。一个只能扫描Java组件的工具是如此……2005?
目前,Xray能够扫描Java jar和war、Nuget包、Python eggs、npm包、RPM和Debian包,当然还有Docker镜像。很快,x射线将支持所有世界上最全面的工件存储库——JFrog Artifactory所支持的包类型。
3.一个数据库不可能知道一切,但是,影响分析应该知道通用.
世界上没有任何数据库能够包含全面影响分析所需的所有元数据——不同类型的所有组件的所有安全漏洞、所有许可证、所有版本,当然,世界上没有任何数据库能够包含您的专有决策元数据。此外,影响分析的不同方法可能适合其他组织,但不适合您的组织(例如,您是否同意将依赖项的指纹发送到云上?)
Xray为您提供了选择的自由-您可以使用Xray的安全漏洞,许可证和组件版本的内部数据库,以获得零配置体验。由于我们将Xray设计为通用的,我们的合作伙伴已经构建了集成,所以如果它们更适合您的需求,您可以连接任何数量的外部工具,如Black Duck, WhiteSource和Aqua(请继续关注更多)。JFrog还将继续添加更多的元数据提供程序来与Xray集成。但是自定义元数据呢?通过开放的REST API, Xray为您提供了一种简单的方法来将任何决策机制挂钩到Xray,并查看它如何影响您的应用程序。
4.组件不是扁平的。影响分析应该是通用.
例如,Nexus组件智能能够扫描Java组件。或者,让我们以Docker Security Scanner为例。它只能扫描Docker映像。但是,如果在Docker映像中、在rpm或Debian包中或在压缩的归档文件中使用Java组件呢?不。在Nexus Component Intelligence的世界里,组件只能存在于一个独立的平面结构中。
现实世界是不同的。组件彼此包含在一起,就像俄罗斯套娃;WAR中的JAR, Debian包中的JAR, Docker镜像中的JAR, Vagrant盒子中的JAR。而Xray作为一种通用工具,知道如何打开这些包,发现里面是什么,并对这些组件进行递归索引。
5.你需要全公司范围的影响分析,也应该这样做通用.
想象一下,如果Xray在一个Docker容器内运行的Nuget包中发现了一个运行时错误,在你的组织中的一个项目的一个生产环境中(现在你知道它可以)。如果您在其他项目中的同事也知道受此错误影响的所有组件,这不是很理想吗?
这是你可以用Xray做的,而Nexus Component Intelligence或类似的工具做不到——全公司范围的影响分析。一旦Xray连接到公司中不同项目和组织中运行的所有Artifactory实例,它就会构建一个真正的通用成分图并且可以对公司内可能受到单个问题组件影响的所有组件进行影响分析。
我相信你现在已经明白了。你需要你的影响分析是通用的,你只能通过JFrog x射线来实现。
最后,JFrog Artifactory 4.11与JFrog Xray联合发布,这两款产品紧密结合,相辅相成。hth华体会最新官方网站Artifactory是唯一真正通用的工件存储库,它提供了所有二进制工件及其附带的元数据,而JFrog Xray是唯一可以连接到任意数量的外部提要并真正提供通用影响分析的产品,它为您提供了整个组织中影响任何格式的二进制工件的所有问题和漏洞的完整图像。
所以,今天就试试吧!下载Xray免费试用版在这里.
下载最新版本的Artifactory在这里,如果你需要,可以免费试用在这里.
了解更多关于人工制造vs Sonatype.
