用JFrog x射线扫描您的软件包的安全漏洞

扫描您的软件包安全漏洞而且违反许可证的行为应该尽早在你的SDLC，越早越好。这个概念也被称为“将离开，这有助于您的组织在软件开发过程的早期遵循安全策略和标准。

作为开发人员，这可能看起来有点麻烦，但使用JFrog CLI就很容易了!使用一个简单的JFrog CLI命令行，您可以快速扫描你的依赖直接从源，在您的本地机器上，按需，并获得违规报告，详细说明已检测到的任何违规。让你洞察代码中真正的东西。

设置您的环境

在我们开始之前，我们需要使用最新的开发者友好设置来设置你的免费JFrog平台和JFrog CLI。这将需要不到几分钟来完成。

Mac或Linux

如果你使用的是Mac或Linux，你可以开始使用curl实用工具:

curl -fL https://getcli.jfrog.io?setup | sh

窗户

如果你使用的是Windows，运行Powershell:

powershell "Start-Process -Wait -Verb RunAs powershell '-NoProfile iwr https://releases.jfrog.io/artifactory/jfrog-cli/v2/[RELEASE]/jfrog-cli-windows-amd64/jfrog.exe -OutFile $env:SYSTEMROOT\system32\jf.exe'";摩根富林明设置

现有的JFrog平台用户可以使用JFrog CLI配置服务器通过在他们机器的任何地方运行以下命令

3安全扫描命令

直接从终端运行任何这些扫描命令将返回一个完整的安全报告，概述所有检测到的安全漏洞。

附加参考:为了自动化的目的，它也可以以JSON格式返回。要修改格式类型，提供格式选项:-format =json/simple-json。其他选项可用-help或文档．

让我们浏览每一个命令。

1.审计

我们将从直接扫描源代码上的项目依赖关系开始。
Audit命令使用包管理器来构建项目的完整依赖树，并扫描它的所有组件。

摩根富林明美元审计

*该命令将自动检测项目使用的包管理器。
Maven(3.1.0或更高版本)、Gradle、npm、pip、pipenv、Go、NoGet、.net都支持这个命令。

2.码头工人扫描

浏览我们的码头工人的图片，我们将运行以下专门的扫描命令。

$ jf docker扫描

控件中的安全部分还可以查看扫描结果JFrog平台．

3.随需应变的二进制扫描

要扫描指定目录下的所有文件并报告所有已识别的漏洞，请执行以下命令随需应变的二进制扫描命令指向本地文件系统中的一个二进制文件。

$ jf scan "path/to/files/*"

继续探索

建立你的软件安全在开发期间将节省您宝贵的时间，因为您不必在编译代码之后寻找和修复漏洞。

JFrog CLI可以做的事情太多了!JFrog CLI项目和它的依赖关系都是开源的，你甚至可以开发并共享您自己的插件．

您可以向我们提出问题或让我们知道您希望看到的其他功能项目的Github问题部分．

开始使用JFrog CLI．