报告类型
报表功能根据您想要查看的数据提供不同的报表类型。目前这些报表类型是可用的:漏洞报告
漏洞报告提供了关于工件、构建和发布包中的漏洞的信息。除了JFrog平台提供的关于每个实体的信息外,该报告还为您提供了更广泛的信息,例如多个存储库、构建和发布包中的漏洞。报告中提供了脆弱成分、CVE、cvss评分和严重程度等标准。您可以通过定义范围和高级过滤器来定义您想要查看的信息,这些过滤器可以为您提供一个灵活的漏洞报告,这可以通过JFrog平台和REST API获得。尽职调查许可证报告
许可证尽职调查报告为您提供了组件和工件及其相关许可证的列表。这使您能够检查和验证组件和工件是否符合许可要求。本报告提供在所选范围内每个组件的尽职调查许可证相关信息。尽职调查许可证信息包括在组件中发现的未知许可证和无法识别的许可证等信息。您可以通过定义范围和高级过滤器来定义您想要查看的信息,这些过滤器可以为您提供灵活的尽职调查报告,这可以通过JFrog平台和REST API获得。违规的报告
违规报告需要Artifactory 7.10.6及以上版本。
操作风险报告
违规报告需要Artifactory版本及以上。
默认情况下,报表配置为100,000行的限制。属性中的rowsLimit参数可配置此限制x射线系统YAML文件.
创建报表
需要的权限
要创建报表,需要在中设置“管理报表”角色权限用户和组.
步骤1创建新报表
导航到应用程序模块|安全性和合规性|报告,并选择创建新的。
步骤2选择作用域
选择一个范围以生成该特定范围的列表。一次只能选择一个作用域。
从Xray 3.27.2及以上版本开始,如果您正在使用Artifactory 7.21.3及以上版本项目,可以生成一个全球报告所有报告类型的项目范围:
存储库范围
选择要在报表中查看信息的存储库。您可以缩小选择特定的存储库,并包括/排除模式以过滤特定的存储库。在每个字段中,您可以指定一个类似ant的模式列表来过滤和过滤工件查询。过滤的工作原理是从包含的模式(默认为全部)中减去排除的模式(默认为none)。
例子:
考虑一个存储库的包含模式和排除模式如下:
包含模式:org/apache/**,com/acme/**排除模式:com/acme/exp-project/**
在这种情况下,将搜索存储库org/apache/maven/parent/1/1.pom而且com/acme/project-x/core/1.0/nit-1.0.jar但不是为了com/acme/exp-project/ / 1.1 / san-1.1.jar核心因为com/acme/exp-project/ * *被指定为排除模式.
构建范围
选择要在报告中查看信息的构建。您可以按名称或模式选择构建。
发布包范围
选择您希望在报告中查看相关信息的发布包。发布包范围的选择与构建范围的选择相同。项目范围
对于Xray 3.27.2及以上版本和Artifactory 7.21.2及以上版本。仅适用于企业和企业+订阅类型的项目。
步骤3使用高级过滤器
使用高级筛选器缩小您希望在报告中看到的数据范围。漏洞高级过滤器
要过滤掉希望在报告中看到的漏洞信息,可以设置高级过滤器。下面是一些如何过滤数据的例子:
例1:通过在特定日期扫描的特定CVE进行筛选。
示例2:在特定的扫描日期,通过CVSS2评分进行筛选,并包含修复。
示例3:根据在特定日期和扫描日期发布的特定影响工件进行筛选。
例4:根据易受攻击组件和严重程度进行过滤。
尽职调查许可高级过滤器
要过滤出您希望在报告中看到的许可信息,您可以设置高级过滤器。下面是一些如何过滤数据的例子:例1:根据特定组件中的license进行过滤。
例2:在一个时间段内扫描的特定组件和工件中,根据许可证进行过滤。
例3:使用模式筛选许可。
例4:在组件中过滤许可证
未知的许可证:查看报表中x射线组件中已知或未知的license。Unknown显示Xray无法发现其任何许可证的组件。但发现未被认可的:查看报表中已被认可的license和未被认可的license。Unrecognized显示Xray找到许可证的组件,但这些许可证不是Xray识别的许可证。
高级过滤器
要过滤掉您希望在报告中看到的违规信息,您可以设置高级过滤器。下面是一些如何过滤数据的例子:
违规可以包含多个cve和多个分数(基于cve)。CVSS报告得分过滤器匹配是基于每个漏洞的“至少一个得分匹配”。如果CVSS评分范围设置为9,则报告显示的CVSS2和CVSS 3评分范围为8-10。对于每一个违规,Xray提供所有的CVE数字和分数
例1:许可证和安全(查看特定手表和策略中的许可证和安全违规,未知的许可证和严重程度为高的安全违规)
例2:安全违规(查看特定组件上的安全违规,具有特定的CVSS评分范围)
例3:license违规(查看特定手表中的license违规,严重程度高,且只有未知的license)
操作风险高级过滤器
要过滤出您希望在报告中看到的操作风险信息,您可以设置高级过滤器。
步骤4生成报表
定义范围和筛选器之后,就可以生成报告了。该报表将以异步模式运行,并将被添加到报表列表页面。新报告将显示在列表的顶部。管理报表列表并对报表执行操作
生成报告后,它将出现在报告列表中。列表中的每个报告都有以下信息:
的名字 |
描述 |
|---|---|
报告名称 |
列出的报告 |
作者 |
创建报告的作者。 |
开始时间 |
报表开始运行的时间。 |
状态 |
报告的状态:
|
进步 |
报告的进展
|
报告长度 |
报表中的行数。 |
查看报表
报表完成后,您可以选择在UI中查看报表。您可以将报表导出为PDF、JSON和CVE格式。
查看报表详情
显示报表的详细信息,如报表类型、范围和筛选条件。
导出报表
您可以将报表导出为PDF、JSON或CSV文件。每种文件格式将根据您的需要为您提供不同的功能。这些文件可以被组织用于获得进一步分析的应用程序和工具进一步使用。下面是每种文件格式的一些示例。
CSV
JSON
{"total_rows": 68, "rows": [{"cves": [], "summary": "nir4", "severity": "High", "vulnerable_component": "rubygems://rubygems-update:2.0.6", "impacted_artifact": "deb://all:jfrog-artifactory-pro:7.2.0 -m027.deb", "fixed_versions": [], "published": "2020-05-26T15:06:05+03:00", "issue_id": "CustomIssue_69Q3m2hFXWCFHr0T", "package_type": "rubygems", "provider": "Custom", "description": "s", "references": []},{"cves": [{"cve":"CVE-2020-11612", "cvss_v2_score": 7.5, "cvss_v2_vector": "CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P"}], "cvss2_max_score": 7.5, "summary": " ZlibDecoders in Netty 4.1。在解码ZlibEncoded字节流时,允许无限的内存分配。攻击者可以向Netty服务器发送一个大的ZlibEncoded字节流,迫使服务器将其所有的自由内存分配给一个解码器。","严重性":"High", "vulnerable_component": "gav://io.netty: Netty -codec:4.1.38.Final", "impacted_artifact": "deb://all: j青蛙-artifactory-pro:7.2.0~m027", "path": " nri -debian/pool/artifactory-pro-7.2.0-m027.deb", "fixed_versions": ["4.1.46. net .net -codec:4.1.38.Final"。Final"], "published": "2020-04-12T19:41:55+03:00", "issue_id": "XRAY-96164", "package_type": "maven",
