如何为您的工件设置软件安全性和遵从性

确保您的团队和站点使用的所有开放源码(OSS)组件安全的最简单方法是使用软件组合分析(SCA)工具．您需要一种自动化的、可靠的方法来管理和跟踪您的开源使用情况。

用JFrog x射线，你可以设置漏洞和许可证合规扫描内置于软件开发生命周期中(SDLC)．在现场，在云中，或混合，Xray提供企业广泛的互联可视性到您的软件组件快速软件分发没有漏洞或许可证问题。这篇博文将带你完成这些步骤。

在开始之前

以下是你需要的:

• JFrog云订阅(免费，可作为云或自托管安装。)

步骤1:登录到您的环境

使用默认U登录sername: admin，和密码: on-prem安装的密码，或通过电子邮件提供给您的云安装凭据。

步骤2:使用您选择的存储库设置JFrog Artifactory

以下是你可以做的建立一个私有、远程和虚拟的Docker注册表>

步骤3:定义策略

政策定义安全和许可行为规范。它们根据组织的需要定义执行规则和自动操作。

在Application模块中，单击安全与合规>政策菜单项。

添加一个类型为“Security”的新策略。点击新规则并设置为“所有严重性”。

请注意:您还可以定义在发现新的安全问题时执行的自动操作。例如，触发网络链接，通过电子邮件通知，阻止下载和失败构建。如果没有启用，您将简单地在web UI中显示信息。

步骤4:选择要监视的存储库，并将策略分配给监视

手表定义您想要监视的资源的范围，例如2022世界杯阿根廷预选赛赛程构件库和构建。我们将创建一个新手表，并将刚才创建的策略应用于它。

在Application模块中，单击安全与合规>手表菜单项并添加一个新手表。

点击添加存储库并选择要包含在此表中的存储库。

既然已经选择了资源，就可以创建策略本身了。2022世界杯阿根廷预选赛赛程

点击管理政策并选择我们在上一步中创建的策略。

第五步:运行扫描!

一旦创建了Watch，当扫描触发事件发生时，它将扫描指定资源中的工件，并相应地发出违反。2022世界杯阿根廷预选赛赛程

但是，在扫描触发事件发生之前(例如将新工件推到存储库中)，系统中已经存在的工件将不会被Watch扫描。因此，为了确保Watch立即应用到相关工件，您可以手动调用它。

将鼠标悬停在我们刚刚创建的手表上并选择适用于现有内容．

指定分配给监视的哪些资源应该被扫描，以及一2022世界杯阿根廷预选赛赛程个日期范围，该日期范围定义了工件需要在目标中停留的时间。

例如，选择“Last 90 days”将只扫描在过去90天内驻留在目标中的工件。

请注意: x射线扫描可能需要一段时间才能完成并显示漏洞结果。

下面是其中一个检测到的依赖关系树安全漏洞．

阅读更多关于推荐的最佳实践登陆JFrog x射线>

就是这样!

现在，剩下的就是你自己试试吧．