x射线快速扫描指南
本指南将带您完成JFrog平台实例的配置,以便尽快开始显示有关JFrog Artifactory中工件的安全和许可信息。
开始之前
安装和连接JFrog x射线到您的平台实例。
本指南也可在PDF版本。
1.选择要扫描漏洞和许可证的存储库
首先选择一个存储库。
导航到管理模块。点击x射线安全与合规菜单和索引资源2022世界杯阿根廷预选赛赛程菜单项。
通过单击将要索引的存储库添加到已索引的资源中2022世界杯阿根廷预选赛赛程添加存储库。
2.索引存储库
单击“Index Now”以索引此存储库中的现有构件。
如果不这样做,则只有新添加的工件才会被索引。
3.查看扫描的工件
使用屏幕顶部的高级搜索栏来查找最近扫描的工件。
导航到应用程序模块。
选择安全性与合规性从搜索下拉菜单中。
点击高级搜索图标。
设置“截止扫描日期”为今天的日期。点击工件选项卡。这将在对工件进行索引时显示它们。点击“Show in Tree”x射线图标来查看特定工件的x射线数据。
4.查看漏洞和许可证问题
去x光选项卡查看与该工件相关的漏洞和许可问题。
中可以看到已标识的开源组件后裔选项卡中的漏洞安全选项卡和附加的许可证许可证选项卡。
接下来是什么
向索引中添加更多存储库。建议每次添加一个组,并在移动到下一个组之前等待它们被索引。
入职x射线最佳实践
这段视频的重点是成功的两个关键:1。涉及研发和2。从小处开始,循环进行。
1.包括研发
这意味着向左转移,使安全性和遵从性成为开发人员工作流程的一部分。下面是如何在JFrog平台中实现这一点。
库结构
在SDLC中为每个团队和阶段(或存储库中的文件夹)创建人工存储库,使每个团队能够处理他们特定的安全性和遵从性违规。除了使用标准的中央远程存储库(如DockerHub)之外。
表结构
在SDLC中管理每个团队和阶段的违规,通过为每个团队和阶段创建监视,可以实现安全治理的独立责任。
下面的示例显示了一个监视,其中包括的所有资源2022世界杯阿根廷预选赛赛程Team-1-Dev。
2.从小事做起,循环工作
从一个团队开始入职流程将使您能够了解哪些流程有效,并将新流程应用于组织中的其他团队。
你的第一份保单
定义一个只针对“高”问题创建违规的策略,而不包含任何操作,例如构建失败、阻止下载和发送通知。
这将允许您对每个违规进行排序,并选择使用忽略规则修复或添加到允许列表中。一旦清除了所有的高严重性问题,就可以引入操作来通知新检测到的高严重性违规。
对于中等严重程度和低严重程度的问题,应重复此过程。
这是一个没有任何操作的策略规则示例。
这是一个违规报告的例子Team-1-Dev,显示所有已识别的严重违规行为。
这是一个脆弱的Debian软件包被使用的例子,它可以被替换和修复。
这是一个创建允许违规的忽略规则的示例。
这是一个策略规则的示例,它具有阻止下载、阻止发布包和失败构建的自动操作。
接下来是什么
继续到下一个团队,重新开始整个过程。一旦你有了两到三个初始团队,在这些初始团队的帮助下,与研发团队的其他成员一起开始这个过程。
