再花几分钟:添加Xray DevSecOps到Azure上的Artifactory Enterprise

在之前的一篇博文中，我们解释过如何通过Azure Marketplace安装或更新Artifactory你点的咖啡到达柜台所需的时间。

现在，您可以向您的自管理(BYOL) Artifactory部署添加Xray，这是软件组合分析(SCA)工具，也通过Azure市场。

JFrog Xray是一个与Artifactory本机集成的通用SCA解决方案，在将有风险的应用程序投入生产之前，为开发人员和DevSecOps团队提供了一种主动识别开源漏洞和许可证遵从性违反的简单方法。

为什么添加Xray SCA

Xray支持所有主要的包类型和集成，知道如何解包每个包以及每个底层包含什么。Xray的深层递归扫描可以看到组件的所有底层和依赖关系，甚至包括那些打包在Docker映像和ZIP文件中的组件。

通过最及时和全面的vuldb情报，对每个解包组件进行检查，以发现潜在的漏洞和违反许可证的行为。

从这些数据中，Xray可以给出每个工件和依赖结构的组件图分析，为您提供独特的可见性，以确定所有发现的风险的影响。

你需要的东西

在你开始之前，你需要准备一些东西:

• 活跃的Azure订阅
• Azure中您所在区域可用的空闲vcpu
• x射线许可证(试用期以外使用)
• 一个安装Artifactory Enterprise在Azure上的BYOL部署．
• 推荐: Azure PostgreSQL服务

安装Azure PostgreSQL服务器

Xray使用数据库对组件的漏洞数据进行索引。与Artifactory一样，您可以用您选择的数据库源配置Xray。

我们推荐的Xray最佳实践配置是在与运行Artifactory和Xray的节点分离的节点上使用数据库服务器。

为此，您需要在安装Xray之前创建一个Azure PostgreSQL服务。然后可以安装Xray来使用这个现有的数据库。

我们已经为您创建了一个有用的ARM模板，它将部署一个Azure PostgreSQL服务，具有与Xray一起使用的理想设置。您可以在我们的JFrog-Cloud-Installers回购，或者你可以从官方那里选一个Azure存储库．

你可以克隆JFrog回购到你自己的工作站:

$ git clone https://github.com/jfrog/JFrog-Cloud-Installers.git $ cd ~/JFrog-Cloud-Installers/AzureResourceManager/Postgresql . txt

编辑postgres.parameters.json的值db_user，db_password,db_server．

该文件azurePostgresDBDeploy.json是ARM模板，其中包含首选设置。的skuSizeMB参数将数据库存储设置为200gb，这是x射线的推荐大小。

使用Azure CLI，将PostgreSQL服务部署到Artifactory部署时使用的同一资源组。

$ az部署组create——resource-group——template-file azurePostgresDBDeploy. shjson -参数@postgres.parameters.json

部署完成后，您将在您的资源组中看到PostgreSQL服务:

该服务器现在可以与Xray一起使用。

BYOL安装在Azure Cloud上

一旦您准备好了这些必需品，就可以从Azure Marketplace开始安装了。

1. 去微软Azure市场．
2. 搜索“JFrog”或“Xray”
3. 选择JFrog x射线ARM模板

或者你可以直接导航到JFrog x射线ARM模板．

使用实例启动安装过程。

1. 点击现在得到它按钮。
   如果您没有登录，Marketplace将要求您提供Azure帐户凭证。
2. 在弹出的窗口中，单击继续同意微软的条款
3. 点击创建

现在，该过程将带您通过一系列选项卡来输入信息。

基础知识

在这里，您将为该实例选择活动订阅，以及它的区域，该区域必须与Artifactory部署相同。

您还必须选择Azure资源组的实例。你可能不选择部署Artifactory的同一资源组。的例外情况下，您可以选择已经通过Azure资源管理器,或点击创建新的现在来定义一个。

VM凭据

在此选项卡中，必须为将为运行JFrog Xray而创建的虚拟机指定一组登录凭据。为虚拟机管理员输入有效形式的用户名，您可以定义12位字符的密码或SSH公钥。

Xray实例应该与Artifactory实例在同一个虚拟网络中。从部署Artifactory的资源组中选择虚拟网络，并选择该VN中的任何可用子网。推荐虚拟机规格为“Standard D4s v3”，最低规格为4vcpu。

x光设置

选择Xray版本，设置集群名称并生成主密钥。

你的Artifactory连接键可以在Artifactory的管理模块中找到。在安全>设置选项卡，输入您的密码连接细节来解锁平台连接详细信息。然后,您可以查看并复制连接键来粘贴到ARM模板表单中。向您的Artifactory部署提供URL。

数据库配置

在这个屏幕上，您可以创建或连接Xray到数据库。如果按照建议，您已经在另一个节点上创建了PostregSQL服务，请选择使用已有的postgresql实例．然后输入数据库服务器名、连接字符串以及PostgreSQL实例的用户名和密码。

连接字符串的例子:

postgres: / / < db_server_name > .postgres.database.azure.com: 5432 / < db_name > ? sslmode =禁用

回顾+创建

在最后一个选项卡中，Azure将验证您的配置。通过验证后，单击创建启动部署。

在部署后

艰苦的工作完成了!ARM模板从这里接管，将Xray及其组件部署到Azure VM中，并将其与Artifactory连接起来。

部署完成后，登录到您的Artifactory实例。你会看到索引资源2022世界杯阿根廷预选赛赛程弹出，确认x射线启动并运行。从这里，您可以选择您想要Xray索引的存储库。

一旦你设置好你的x光手表，你就可以享受丰富的味道DevSecOps，确保当关键组件出现问题时您会收到警报，并且不安全的构建可以被阻止发布。

要了解Artifactory、PostgreSQL和Xray安装过程的完整演示，请观看本教程视频。