x射线如何扫描您的构建?
在这个过程中有三个参与者:
- 您的CI构建
目前支持Jenkins、Azure DevOps、Bamboo、TeamCity和JFrog CLI。
CI构建通过JFrog Artifactory向Xray发送一个请求,以便扫描构建。如果扫描检测到漏洞,CI构建可以采取适当的操作。 - JFrog Artifactory
JFrog Artifactory充当CI服务器和x射线之间的中介。它只不过是在一个和另一个之间传递信息。 - JFrog x光
根据要求,如果x射线已定义手表与行动要使构建作业失败,它将扫描构建,并响应一条消息,如果在构建工件或其依赖项之一中检测到漏洞,则构建作业应该失败。
下面的工作流程展示了Xray如何扫描构建。
- CI构建运行。
假设构建成功,CI构建将向Artifactory发布构建信息。 - x射线自动扫描您的新构建工件和依赖。
- CI构建将一个请求传递给Artifactory以扫描构建。
- Artifactory通过x射线扫描构建的请求scanBuildREST API端点。
x射线扫描构建根据一个定义的手表与构建任务失败行动。
多块手表还是没有手表?
您可以用一个失败构建作业操作定义多个监视,每个监视都有自己的标准(例如,工件过滤器和/或问题过滤器),应该触发警报。每次扫描构建时,都会应用所有这些watch。
如果x射线接收到scanBuild请求,并有没有使用失败构建作业操作定义的监视,Xray将始终响应一个指示,使构建作业失败,即使在构建工件或其依赖项中没有发现漏洞。
- 如果构建工件或依赖项满足Watch中定义的条件(过滤器),Xray就会触发警报……
x射线对scanBuild请求,指示构建作业应该失败。
所有警报在一个响应
响应包括所有监视生成的所有警报的详细信息,其中包括一个失败构建作业操作。
- Artifactory将响应传递回CI服务器。
- CI服务器构建任务失败。
设置x射线CI集成
配置x光
- 安装x光.
- 建立资源索引2022世界杯阿根廷预选赛赛程.
- 要根据CI服务器的请求扫描Xray构建,您需要配置一个看使用正确的过滤器,指定哪些工件和漏洞应该触发警报,并为该手表设置“失败构建作业操作”。
配置CI服务器
Xray CI/CD集成支持Jenkins, Azure DevOps, Bamboo和JFrog CLI。
x射线是原生集成JFrog管道.
詹金斯
来配置构建作业要请求扫描,请使用Jenkins Artifactory插件(v2.9.0及以上版本),则需要创建一个scanConfig实例,并将其传递给xrayScan方法。
Azure DevOps
要扫描构建构件以查找Azure DevOps中的漏洞,需要添加Artifactory x射线扫描后的任务。Artifactory发布BuildInfo的任务。
竹子
来扫描构建构件对于漏洞,使用竹工艺品插件,则需要添加Artifactoryx光扫描执行你的计划.该任务应该跟随之前发布构建信息到Artifactory的任务。
TeamCity
来扫描构建工件和依赖项的漏洞TeamCity Artifactory插件,则需要启用构建时进行x光扫描而且失败构建选项,每个版本配置。
JFrog CLI
要使用JFrog CLI扫描构建构件以查找漏洞,需要使用Jfrog rt扫描构建命令。
配置Artifactory
尽管Artifactory在此集成中不扮演主动角色,也不需要显式配置,但它在CI服务器和JFrog Xray之间传递信息时扮演被动角色。
中支持此特性4.16版本的Artifactory及以上。
管理扫描的构建
Xray的构建集成允许您管理构建作业,并在构建中发现带有漏洞的构建工件或依赖项时,使用适当的操作配置它们。虽然默认操作(在Jenkins中)是简单地停止构建,但实际上您可以配置管道来做其他事情,例如发送电子邮件通知,甚至运行不同的构建作业。
观看录像
通过JFrog Xray扫描每个构建的安全漏洞、许可证遵从性问题等结果,了解如何获得两个世界的最佳结果——开发人员的生产力和安全性。
