JFrog产品负责人回答swamp与会者最迫切的问题

在一个现场的、无脚本的“问我什么”会议上，一群JFrog产品领导者坦率地回答了swampp与会者的问题，话题从新发布的JFrog产品和功能到目前影响DevOps团队的网络安全问题。hth华体会最新官方网站

由于活跃的讨论产生了许多精彩的问题和答案，我们在这里整理了会议的摘要。

问:你能提供一个新的x射线报告功能的更新吗?

我是Dganit Arnon，产品经理是的，我们最近发布了一个JFrog Xray的新报告模块这允许您生成关于漏洞、许可证和策略违反的任何报告。现在，您可以使用任何高级过滤器在您想要的任何范围上创建报告。您可以将它导出为您想要的任何格式- CVSS, JSON文件，或PDF -所以您可以切和切一些更多的您的需要，或在第三方系统中使用它。

与所有JFrog功能一样，所有功能都可以通过api获得，因此您也可以将其集成到您的自动化中。

问:您能详细介绍一下新的云原生高可用性特性吗?

高级产品经理Evgeny Karasik:在JFrog平台版本7.17.4之前，像复制、垃圾收集、备份和导出/导入这样的维护任务需要预先定义我们所说的主节点，您可以在YAML中使用Artifactory系统对其进行配置。这是可以的，但是它给我们在原生云环境中的支持带来了挑战，在这种环境中，集群中的所有节点都应该能够按照定义运行那些任务。

为了解决这个问题，我们开发了一种新的能力这使得集群中的所有节点都可以积极参与这些任务的执行。您只需要启用该功能并将相关任务分派到相关节点。这样我们可以提供一个正确的方法来平衡它，并显著地简化Artifactory的升级过程JFrog DevOps平台一般来说。

顺便说一下，这在新安装中是默认可用的。对于现有客户，他们有一种非常直观的方式从当前状态进行迁移，当前状态仍然使用主节点。升级到最新版本后，他们需要更改配置，其中包括此功能。

问:请提供更多关于冷工件存储功能的细节?

A: Ori Yitzhaki，产品副总裁:这非常令人兴奋的功能定于下个季度。它将让客户从目前使用的存储设备中转移部分工作负载，并将其转移到AWS Glacier等更实惠的冷库服务上。我们这样做是因为我们听说许多客户希望保留他们已经在生产中部署了多年的应用程序。标准是7年，但我们看到应用程序部署了20年或30年。所以我们真的很想支持这个用例。

问:我可以在私有发行网络中重用我的发行包吗?

高级产品经理Evgeny Karasik:是的,当然。发布包的概念是统一于整个平台的。发布包是工件的不可变集合单软件物料清单(SBOM)．您可以使用发布包将其分发到边缘节点，也可以使用它作为缓存预热的一部分专用配电网也当前的发布包是完全可通过PDN分发的，因此您可以安全地扩展它们的重用。

问:对于Xray的自托管版本，你能推荐一个DR(灾难恢复)策略吗?

A: Ori Yitzhaki，产品副总裁:swampUP主题中提出的一个特性是联合存储库它将端到端镜像您的整个Artifactory，并且您可以将其用于DR目的。我们仍在寻找x射线部分，但大部分将是配置和政策，所以这是我们可能会添加的东西任务控制作为我们平台全球管理的一部分。

问:我已经有很多使用Jenkins的CI自动化。我如何开始使用JFrog管道?

A:产品总监Manisha Sahasrabudhe:我们建议JFrog pipeline采用分阶段的方法，因为如果您已经在Jenkins或其他CI/CD工具上实现了大量自动化，那么您不会完全迁移到JFrog管道一天之内。

首先，您应该确定自动化中的差距，比如Jenkins中没有自动化的任务，这样您就可以开始使用JFrog pipeline来完成它。或者确定您正在构建的新应用程序，并使用JFrog pipeline将其自动化。然后，当您回到一些您可能想要更改的旧自动化时，将其一块一块地迁移到JFrog pipeline中。

也就是说，我们确实认识到，无论您的迁移路径如何，您可能仍然在Jenkins上有很多自动化。所以我们已经建立了一个与Jenkins的原生集成，这是一流的，你可以在Jenkins上有你的一些工作流，你可以无缝地将它们与JFrog pipeline集成，并查看JFrog平台内的整个端到端管道。

问:如何部署专用配电网?

高级产品经理Evgeny Karasik:生产部署在你的地盘上。分布节点是一个自包含的可执行二进制文件，您可以将其部署或烘焙到环境的自动化或引导中。我们将为这个可执行文件提供运行时配置，有了它，您将实现或构建分发拓扑，这完全在您这边。这就是为什么我们叫它a私人分销网络。如果您有需要区别对待的特殊领域，您可以完全自由地使用它并根据您的网络需求构建它。它是完全灵活的，可以被烘焙到任何类型的环境中——混合、虚拟化或裸金属硬件。

产品副总裁Ori Yitzhaki:此外，我们还推出了几个测试版程序，其中一个是Artifactory冷库功能，另一个是生产．

问:我们看到与SCA的强大集成(软件组成分析)。那么DAST(动态应用程序安全测试)和SAST(静态应用程序安全测试)工具呢?

我是Dganit Arnon，产品经理:我们正在研究这两者——DAST和SAST的集成——但目前我们没有任何具体的消息要宣布。目前，我们提供了一种非常“左移”的方法，从尽可能早地扫描构建开始。我们刚刚宣布我们将很快扫描源代码依赖项。

问:我们的团队是Artifactory的新手，用的是Jenkins。如果我们想使用JFrog管道，我们应该从什么开始?

A:产品总监Manisha Sahasrabudhe:如果团队还在采用CI/CD的过程中，而您正在使用Jenkins，那么您可以采用几种方法。

一个是开始同时使用Jenkins和JFrog管道。我们有一个詹金斯集成，所以您的工作流程的一部分可以在Jenkins上，一部分在JFrog pipeline上，您将看到它以无缝的方式在JFrog pipeline上可视化。

其次，我们愿意为您的团队做一个演示，甚至可能是一个POC(概念证明)来解释您的组织可以使用JFrog pipeline的所有不同方式，特别是如果您已经在使用Artifactory、Xray和Distribution的话。我们在JFrog pipeline中有许多花哨的功能，这将使您非常容易地使用几个YAML键创建流线型的工作流，而不是将一切都编写为脚本。这是你会得到的主要好处之一。

问:关于Artifactory的性能测试，我正在使用JMeter性能测试工具使用JFrog CLI测试Artifactory回购的性能。上传10GB的文件大约需要8分钟。在Artifactory的未来版本中会有什么改进吗?

高级产品经理Evgeny Karasik:我们在Artifactory的最新版本中对其性能进行了显著的增强，不仅是在上传/下载速度方面，而且在权限管理和一般的访问管理方面。特别是在上传/下载性能方面，我们关注的是整个系统的瓶颈是什么，并发现它在数据库中。在最新版本中，PostgreSQL DB的性能得到了显著的提高。

问:请解释签名管道特性的好处。

A:产品总监Manisha Sahasrabudhe:这个全新的功能旨在建立您的信任软件交付管道因此，您可以确保通过您的管道进行的任何工件，或者例如被部署或提升的工件，都是由管道创建的工件，并且没有被篡改。因此，创建防篡改管道是该特性的主要安全目标。

例如，您可以有一个创建构建或工件的开发管道，然后在本地机器上工作的开发人员尝试修复问题并覆盖工件。最终，下一个管道接受这个工件并促进它。我们希望检测这些场景，并授权组织在发生这种情况时停止管道。在我的例子中，开发人员的意图是良性的，但是当有人怀着恶意篡改时，Signed pipeline也将帮助您阻止管道操作。它是通过使用元数据来否定的。

的第二个主要好处签署了管道是可追溯性。我们创建一个pipeInfo.json其中包含对所有运行的完整跟踪，以及从提交代码到部署代码期间发生在工件上的所有事情。所以您对所有工件都有完整的可追溯性。你知道它们在哪里，谁在研究它们，它们被部署在哪里，所有的测试，等等。

问:x射线的依赖分析是否纯粹基于校验和来匹配包?如果是的话，有没有更深入的包分析计划，可以处理阴影或UberJars?

我是Dganit Arnon，产品经理:我们已经支持UberJars的扫描，这是一个包含许多其他Jar文件的Jar文件，而每个Jar文件又可能包含其他Jar文件。Xray有许多不同的工作方式，包括Checksum和ComponentID。对于每种包类型，我们都有特定的方法来逐层检测和递归地打开它。我们为每个UberJar展示了一个完整的依赖树。

问:我可以使用哪些第三方工具来监控JFrog平台?

A: Loreli Cadapan，产品高级总监:我们已经做了大量的工作，以确保我们的客户能够监控JFrog平台。除了与Sumo Logic的本地集成，我们还构建了与Splunk、Elastic和datdog等可观察性工具的其他集成。这些集成利用了FluentD，它允许我们支持所有这些供应商。这些集成使客户能够使用和可视化来自JFrog平台的日志，并了解平台的健康状况，以及关于错误码、HTTP状态码、接受或拒绝登录、数据传输、频繁下载的构件、请求、状态码、最活跃的回购等关键操作的了解。

问:如果Jenkins在为你工作，转到JFrog pipeline有什么优势吗?

A:产品总监Manisha Sahasrabudhe:是的，使用JFrog管道有很多优点。

第一个也是最重要的一点是，它与所有其他JFrog产品以及JFrog平台完全集成。hth华体会最新官方网站因此，如果您使用的是Xray、Distribution或Artifactory，那么只需很少的定制脚本就可以跨所有这些产品创建管道。hth华体会最新官方网站JFrog pipeline的目标是允许用户从零开始构建管道，而无需自定义脚本。我们有预先打包的步骤，叫做Native steps，它允许你做很多常见的操作，比如从Artifactory中提取，构建Docker映像分发、部署等等。您可以使用Native Steps在几分钟内创建一个管道。如果您正在使用Artifactory, Jenkins的设计并不是为了让您的生活变得轻松。这是一种更通用的工具。

第二个好处是规模。JFrog pipeline可以扩展到数千个并发构建和数千个并发用户，而我们从许多客户那里听说，使用Jenkins可以进入“插件地狱”。由于插件体系结构的原因，如果他们有一个想要升级的插件的特定版本，那么就可能与该插件的其他版本或与其他插件产生冲突。因此，不同的团队最终会有自己的Jenkins实例。我们还听说Jenkins在处理超过100或150个并发构建时遇到了麻烦。

使用JFrog pipeline，您将不会有这些问题。它是为规模而建的。

还有很多其他的好处。例如，我们有“资源”的概念，它可以帮助您构建跨越不同团队的管道，因此每个团队2022世界杯阿根廷预选赛赛程都可以有一个开发管道SecOps管道所有这些都可以使用那些不可变版本资源系统地构建到所谓的“管道的管道”中。2022世界杯阿根廷预选赛赛程

我们还关注可重用性，因此我们有扩展和模板，可以帮助您定义自己的自定义预打包步骤或资源，并创建完整的管道模板。2022世界杯阿根廷预选赛赛程

我们的目标是帮助您非常轻松地创建管道，并与JFrog平台紧密集成。我们还有比詹金斯更好的安全措施。

我可以继续谈论使用JFrog pipeline而不是Jenkins的所有其他好处和优势。

产品副总裁Ori Yitzhaki:尝试JFrog pipeline的一个简单方法是使用JFrog免费层订阅它还包括Artifactory，以及一些x射线功能。它是完全免费的。你甚至不需要提供信用卡。您只需旋转一个环境并开始使用它。

问:冷工件存储特性从哪个版本可用?这是否意味着Artifactory现在支持多个存储挂载—一个用于活动工件，另一个用于冷库?

A: Ori Yitzhaki，产品副总裁:这个版本目前还不清楚，因为我们还在开发这个功能，但它将是7的一部分。X代码基础。现在有很多升级的理由:冷库、一般分发、PDN、联合存储库、项目等等。

就体系结构而言，我们将支持多个二进制提供程序，但体系结构的工作方式是与另一个实例一起工作，这是无头的。您的开发人员和管理员不需要登录。您能够在常规归档中聚合的数据量将对您正在进行的性能产生影响，我们希望通过将数据迁移到冷库来确保您能够获得性能上的好处。

问:除了Xray，我们还使用了另一个工具——WhiteSource——用于开源依赖项扫描。Whitesource有文档说明Xray可以连接到我们的Whitesource实例。建议这样做吗?我记得x射线和WhiteSource是竞争对手?

我是Dganit Arnon，产品经理:我不确定你指的是哪个文档，但目前WhiteSource和Xray之间没有集成，我们确实在竞争。将Xray与WhiteSource集成的唯一方法是通过我们的定制的集成功能，它允许您集成到任何漏洞数据源。

产品副总裁Ori Yitzhaki:我们曾经有一个与WhiteSource的集成，但由于竞争情况和其他原因，它很难维护，所以我们决定弃用该集成。

问:你能详细说明一下Slack-JFrog的集成吗?

A: Loreli Cadapan，产品高级总监:目前，Slack集成的是与artifactory相关的事件和x射线相关的事件。

当工件被上传、工件被移动、复制或删除时，它会在Slack上通知您，在构建端，当构建被提升时，我们将添加更多的功能。在Xray方面，一旦你设置了Xray策略和监控，你就会收到关于违规的Slack通知。

这是开箱即用的，所以你不需要使用我们的webhook或其他任何东西。它们都被整合了。这是目前对我们的SaaS实例可用的。我们希望将其与自我管理平台整合在一起。

Slack和Microsoft Teams的集成都是双向的，所以您也可以直接从这些协作工具中采取行动，比如忽略x射线规则。

我们正在寻找测试客户，在我们发布Slack和msteam集成之前给我们反馈。

问:JFrog如何应对最近的依赖混淆攻击?

高级产品经理Evgeny Karasik:依赖混淆攻击并不新鲜。当攻击者从您在代码上使用的公共注册中心识别出外部包，并上传包含恶意软件的这些包的克隆时，就会发生这种情况。因此，当您无意中从公共存储库获取这些新上传的克隆时，您的代码就会受到感染。

多年来，我们通过对存储库的高级配置为这些情况提供了解决方案。例如，可以使用排除模式，也可以使用范围包。

然而，我们最近又向前迈进了一步，为客户简化了这些配置，并为我们的存储库引入了一种名为优先解决，您可以在存储库级别打开或关闭该存储库，并标记允许开发人员从中获取工件的可信外部存储库。一旦结果被合并—例如在虚拟存储库下—只有来自已批准存储库的已批准的结果将被合并。然后您可以消除从未经批准的存储库中获取的工件，这样可以避免成为依赖混淆攻击的受害者。

问:迁移到JFrog项目的推荐路径是什么?

高级产品经理Evgeny Karasik:JFrog项目提供了一个独特的功能，因为它不仅仅是为JFrog平台添加功能，而且还影响了您的工作方法。

因此，首先，您应该关注方法，并确定在您的组织中项目的表示形式。它是应用程序开发项目吗?这是一个发布活动吗?

然后，您可以开始确定作为项目的一部分需要维护哪些类型的资产。从存储库开始，确定您将如何隔离这些存储库，或者如何在不同的项目之间共享这些存储库。例如，如果您有一个公共注册中心，该注册中心通过虚拟或远程存储库在不同的项目之间共享，那么您可能希望将其保留为所有人的共享存储库。如果您正在使用JFrog pipeline，则需要对其资源进行同样的操作。2022世界杯阿根廷预选赛赛程

另一个需要关注的领域是角色。角色是我们在当前权限模型之上引入的抽象。您需要清楚地了解组织中有哪些类型的角色，以及需要将哪些用户或组应用到这些角色。

此时，您可以开始登录您的项目。在转向更重要的项目之前，从试点项目或概念验证项目开始是一个很好的做法。

问:您是如何构建您在会议上展示的优秀jfrog - datdog仪表板的?

A: Loreli Cadapan，产品高级总监:我们与datdog合作，利用他们的SIEM能力进行了开箱即用的集成。这使得客户可以使用开箱即用的仪表板来消费、分析和可视化x射线数据。当x光仪发现违反许可证或者安全漏洞，它被报告并反映在这些工具的仪表板中。

通过这些仪表板，您可以看到正在运行的软件中发现的违规计数的总体摘要。通过更深入的基于策略和规则的细分，向用户提供所有许可证违反和安全漏洞的汇总计数。客户还可以按类型或严重程度跟踪违规数量。他们还能深入了解最常出现的漏洞和最受影响的工件和组件。

这里需要注意的重要一点是，我们实际上已经将这些数据转换为这些SIEM工具所接受的格式，以便客户可以将它们编织到内部工作流中，以便在Xray报告关键漏洞时通知相关安全团队。

要参加Cold Artifact Storage和JFrog的Slack和Microsoft Teams集成的beta程序，请联系您的JFrog代表。

为了参加私人配电网的测试计划，点击这里．