操作风险

x射线如何判断操作风险的严重程度?

Xray使用以下标准将操作风险分为高、中、低和无(无已知风险):

计算操作风险有效严重性

---

工作流

步骤1创建操作风险策略

添加了一个额外的Policy类型来支持操作风险规则。这些规则是基于x射线确定的风险类型。违例是根据您选择的规则标准生成的。有关x射线策略的更多信息，请参见创建x射线策略和规则。

步骤2将Policy绑定到Watch

将操作风险政策附加到一个或多个手表上，以将其应用于您的资源。2022世界杯阿根廷预选赛赛程有关x射线手表的更多信息，请参阅配置x射线手表。

步骤3查看操作风险数据

在Artifactory的x射线数据选项卡中查看组件的操作风险数据。

步骤4查看违规行为

查看基于您设置的策略规则生成的操作风险违规。

---

创建操作风险策略

操作风险策略类型包括基于Xray确定的风险标准的规则。要创建策略，请执行以下操作:

1. 在政府模块,选择手表与政策从政策选项卡单击新政策。
2. 选择策略类型为操作风险，并按新规则。
   
3. 选择规则标准。你可以做以下其中一件事:
   1. 根据最低风险水平;低、中、高。
   2. 具体数值按子标准下的自定义条件。自定义条件基于可用的x射线操作风险数据。条件之间的关系是Or/And。
      
      
      

有关创建策略的详细信息，请参见创建x射线策略和规则。创建策略后，可以继续将其附加到Watch，如配置x射线手表。

---

查看操作风险数据

Artifactory中的x射线数据选项卡现在包含一个额外的操作风险数据选项卡。列出了每个组件以及每个组件的操作风险信息。要访问这些数据，请参见资源扫描结果分析。

---

操作风险违规

一种新的违规类型，操作风险，现在列在x射线数据下的违规选项卡下。违规是根据您在策略中设置的规则生成的。违规包括操作风险组件数据。

选择违规项后，显示“操作风险”数据。

忽略操作风险违规

通过创建“忽略规则”，可以忽略操作风险违规。要创建忽略规则，请单击忽略违规图标。有关忽略规则的详细信息，请参见无视规则。

---

在离线模式下升级具有操作风险特性支持的x射线

如果您处于离线模式，则需要手动同步数据库以下载组件数据并启用操作风险检测。

做到以下几点:

1. 在政府模块，转到x射线安全与合规并选择数据库同步。
2. 选择离线同步模式，点击生成下载命令。

3. 生成的命令如下所示:
   

   jfrog xr offline-update——license-id=——version=

4. 如果命令包含从和来参数，删除它们，使命令看起来像上面的例子。
5. 复制命令并在CLI中运行。
6. CLI将下载两个文件:comp_0.zip和vuln_0.zip
7. 解压缩组件文件，例如，comp_{号码}. zip。它包含额外的zip文件，如:
   1. 2022 - 03 - 22 - __onboardingf__comp2801_2803__.zip

8. 将提取的组件zip文件放在Xray服务器的以下文件夹下。

   $ {XRAY_HOME} / var /工作/服务器/更新/ data_migration / public_comps_operational_risk_files /

   
   

9. 触发组件操作风险持久性迁移:
   

   [post] /api/v1/migration/trigger/public_comps_operational_risk内容类型:application/json

10. 使用迁移值REST API来监视操作风险迁移过程。要了解有关运行Xray命令的更多信息，请参见x射线REST API。
    一旦迁移完成，迁移状态将被设置为完成了。如果其他状态包含失败信息，请检查日志或联系JFrog的客户支持。
    

    [有]< XRAY_URL > / api / v1 /迁移/数据/价值?关键= public_comps_operational_risk

    样品反应:

    {"key": "public_comps_operational_risk"， "value": "finished"}

---

REST API支持

以下REST api已更新以支持操作风险特性:

• 扫描构建V1
• 扫描构建V2
• 建设总结
• 工件的总结
• 按名称查找组件
• 得到违反
• 创建政策
• 创建忽略规则