“未雨绸缪”，这是一句古老的谚语，这句16世纪的真理更适用于21世纪的开发ops。越早了解漏洞，就越能避免让它们成为软件的一部分。

这与“左移”DevSecOps策略背后的原则相同。开发人员不是等待测试人员在构建的应用程序中捕捉漏洞，而是承担更大的责任，将风险依赖关系排除在他们构建的应用程序之外。

但是开发人员如何知道哪些依赖关系是安全的，哪些存在问题呢?公共存储库Maven Central拥有超过270,000个可用模块，并且还在不断增加，所有模块都以不同的速度更新。Node.js注册表npm有超过35万个包。即使有漏洞扫描工具，如JFrog x射线为了提供帮助，您如何在编码时对问题保持警惕?

一个IDE集成来自JFrog的x射线可以提供帮助。

扫描DevSecOps

如果你使用JFrog x射线，你已经在把DevSecOps向左移动的道路上了。Xray对您使用的包管理器的依赖项执行自动扫描，包括Maven、Gradle和npm，并识别哪些包含已知漏洞。Xray使用VulnDB数据库，最全面最上进日期漏洞情报可用，由基于风险的安全创建和维护。Maven Central有超过27万个可用模块，npm有超过35万个。开发人员如何知道哪些依赖关系是安全的?点击Tweet

Xray还标识了每个依赖项的适用许可，因此组织可以避免使用与其许可不一致的代码政策．

因为x射线与工件存储库Artifactory，您总是可以在Artifactory的仪表板中看到代理存储库中哪些依赖项存在漏洞，以及它们构成的风险有多严重。管理员还可以配置JFrog Xray来阻止从Artifactory下载的潜在有害工件，以防止它们被使用。

选择IDE集成

为了让开发人员更容易做出这些决定，JFrog为一些最常用的ide提供了插件，可以将Xray的扫描结果直接带入到编码编辑器中。所以你可以看到，在你选择依赖的那一刻，你的选择是否会带来风险，并帮助你做出明智的决定。

的JFrog x射线插件IntelliJ IDEA而且JFrog Visual Studio扩展已经可用，并帮助开发人员向左移动。现在Eclipse IDE用户有一个来自JFrog的插件也有了这个版本，在三个最流行的ide上，向左转移安全性和许可问题意识变得更容易了。

工作原理

为了理解这些是如何工作的，让我们看看最新的Eclipse插件。

你可以在JFrog Eclipse IDE插件在Eclipse市场．要安装插件，可以拖动安装按钮到您的Eclipse窗口。

一旦安装，就可以了连接插件到你的JFrog Xray实例通过设置它的URL和登录凭证首选项．完成后，您可以单击测试连接确认设置工作，然后应用设置。

一旦你打开JFrog选项卡，您可以看到所有的问题Xray在依赖组件中识别的。属性匹配的结果进行筛选严重程度风险。

在许可证信息选项卡可以识别和筛选应用于每个组件的许可证。

除了发展

当然，选择安全的依赖关系只是DevSecOps策略的第一步。今天被认为安全的包可能在以后被发现是脆弱的，或者包的后续版本可能会引入新的风险。

这就是为什么JFrog Xray会对Artifactory存储库中的内容进行持续的影响分析。它定期扫描和分析组件，甚至是那些早已部署到生产环境的组件，并为新发现的漏洞提供警报和通知。它也会执行深度递归扫描在二进制文件中，递归地深入分析影响软件的最小二进制组件。

这一切都是为了让开发者更清楚地意识到安全漏洞，因为他们是最能够立即对问题采取行动的人。问题得到了更快的解决，公司和客户都得到了保护。

开发人员的工作台是DevSecOps的第一道防线。JFrog对Eclipse等流行ide的x射线集成是我们帮助将左移从阴影中带出来的一种方式。