以内容为主导的成分分析

JFrog Xray一年前首次发布。我们的第一篇文章它强调了x射线不仅仅是一种安全扫描工具的原因。在过去的一年里，我们推出了更多与众不同的功能，比如下载阻塞，与更多安全漏洞提供商集成水的安全,BlackDuck,与您的CI/CD管道集成为了保证构建的安全，" diff " ing组件图和一个更多．最后，所有这些特性都是为了生成有用且有意义的警报，这些警报将指出您正在使用的软件组件中的问题和漏洞。虽然这工作很好，但我们在过去一年的观察和与客户的多次会议表明，我们可以在工作流程中进行改进。

内容驱动的工作流

以前的工作流是事件驱动的。Artifactory中的一个事件触发了扫描，从而触发了警报。但这导致了聚集了许多问题的无状态警报，每个问题都可能影响许多组件。从我们的客户会议中，我们发现，x射线用户通常对特定的组件感兴趣;引入到代码库的新工具、构建或依赖项。因此，他们想要一种简单的方法来找到该组件，并查看它是否有任何问题或漏洞。这催生了以内容为主导的成分分析；我们在Xray 1.8中添加的一个新的工作流程是这样的:

增强搜索- >组件下钻- >检查问题

组件分析从增强搜索开始

新组件的搜索允许您提供比以前更多的参数，以便筛选结果并锁定您正在寻找的确切组件。您可以通过组件类型(构建、包或文件)、创建日期、修改日期、最低严重程度、名称等进行搜索。

丰富的组件显示

使用增强搜索缩小搜索结果范围后，就可以选择感兴趣的组件向下钻取获取丰富的详细信息集，包括所有版本、每个版本的问题和漏洞、首要问题严重性等。

获取快速修复版本

当你去看医生的时候，你不仅想知道自己出了什么问题;你也想要解药。x射线1.8增强组件显示器就做到了这一点。除了提供受漏洞感染的所有版本外，它还提供“修复版本-建议通过升级到漏洞已修复的版本进行补救。

与你的问题亲密接触

从丰富的组件显示中，您可以选择要查看的任何问题详细的信息以及一个完整的影响分析，以查看系统中所有其他组件都受到该问题的影响。

还有什么?

虽然新的内容驱动组件分析在管理二进制文件的安全性方面向前迈出了一大步，但这并不是Xray 1.8所能提供的全部功能。

垃圾进，黄金出

x射线一开始的原始数据简直就是垃圾。在不同的数据源和不同质量的数据之间，需要进行相当多的处理才能将数据转换为一致的漏洞和问题数据库。在Xray 1.8中，我们对算法和启发式进行了许多改进，以关联和匹配来自不同来源的数据，提供更多和更准确的漏洞细节。在Maven组件的情况下，我们已经完全替换了漏洞数据，甚至在将漏洞添加到数据库之前手工策划漏洞。结果是一个更连贯和准确的数据库，提供了更好的覆盖率和更少的假阳性- Gold。

持续集成的团队成员

这个版本还扩展了XrayCI / CD集成到TeamCity，这样您就可以扫描构建并在发现构建中有受感染的组件时使其失效。请留意未来关于这方面更多细节的文章。

将这些漏洞扼杀在IntelliJ的萌芽之中

预防胜于治疗。我们都知道这一点，所以我们希望在开发过程中尽可能早地发现漏洞。Xray已经处理过生产系统连续的二元分析花时间和CI / CD集成，现在将脆弱性分析引入到开发阶段。通过直接与IntelliJ IDEA集成，开发人员可以看到他们在软件中包含的任何Maven组件的完整分析。这给开发人员特权和责任，以评估是否使用受感染的组件。请留意这方面的帖子。

这就是它。嗯,不完全是。我们还大幅提高了扫描性能，特别是对Docker图像，这从整体上提高了Xray的响应能力。完整的存储库扫描速度可以快几个数量级。当然，还有常见的bug修复。要了解所有细节，请看发布说明．

使用x光了吗?太好了。想要用内容赶走漏洞。下载最新版本．

不使用x光吗?去吧,试一试．