有什么新与JFrog Artifactory和x射线
通过
7分钟阅读
博士TL;
获得最新的自托管Docker速率限制,消除违规噪音和新的包类型支持。
毫无疑问,2020年对每个人来说都是近年来最具挑战性的一年,尤其是对DevOps领域的人来说。JFrog一直努力以同样的速度继续开发和创新,为我们的客户提供更好的端到端DevOps体验,并帮助客户保持按时发布的节奏。
让我们仔细看看最近在JFrog平台中引入的一些新特性。
自托管用户的Docker速率限制
您可能已经知道,Docker宣布了新的以消费为基础的限制从Docker Hub提取的容器映像。具体来说,匿名免费用户每6小时只能拉100次,而认证免费用户每6小时只能拉200次。
JFrog与Docker的合作确保云用户的JFrog DevOps平台包括那些使用免费订阅(可在AWS、GCP和Azure上使用)的用户,将不会面临Docker Hub图像拉取限制。
码头工人注册表现在在JFrog Artifactory中进行了优化,以适应Docker通过优化宣布的最新速率限制变化以下特性:
- HEAD请求的使用
- 新增默认检索缓存周期
- 增强的日志和消息传递
- 摘要头的使用(Docker内容摘要)
对许可证违规和漏洞采取行动
JFrog x射线报道使您可以轻松地对开源包、构建和工件的x射线扫描结果进行分类并采取行动。每个报告都提供了来自特定时间点的OSS风险快照,并以直观的方式显示信息。
报告的范围可以通过过滤易受攻击的组件、受影响的工件、扫描日期、CVE ID或CVSS严重评分来配置。出于补救目的,还可以配置报告以显示'所有的漏洞”、“有问题的或'没有解决办法”。
JFrog x射线报告
报告类型
不同的可用报告包括:
- 许可证尽职调查报告,提供了您的所有组件和构件,以及它们相关的软件许可,使您能够验证您正在使用的组件和构件是否符合您的公司许可准则。它列出了与每个组件相关联的所有许可证类型,以及未知和无法识别的许可证。
- 违规的报告,为您提供有关在所选范围内发现的每个组件的安全性和许可证违规的信息。包括违反的类型、受影响的组件和工件以及严重程度。它的范围也由高级过滤器定义。
x射线报告的独特功能之一是易受攻击组件的冲击路径。组件可以出现在构建映像中的多个位置,也可以出现在多个构建中。x射线将显示所有易受攻击的组件影响您的软件的地方。
漏洞报告示例
报表权限管理
JFrog平台增加了一个新的权限角色来支持这个新功能。它支持对谁可以创建、编辑和共享报告的权限限制,并且可以在个人用户或组团队级别进行分配。
管理安全违章噪声
JFrog x射线无视规则允许您白名单,忽略或接受安全违规规则,以过滤掉不想要的违规噪音。这些规则可以被不同的团队和用户忽略,原因如下:
- 你已经意识到这个弱点,并且能够防范它。
- 您的环境不满足此违规的要求。
- 该漏洞不是一个显示中止器,您稍后将处理它。
- 停止不重要的违规导致构建失败或阻止下载。
在JFrog x射线中设置一个忽略规则
忽略规则的粒度
忽略规则功能为您提供了广泛的灵活性和粒度,允许您忽略基于漏洞/许可证、组件、工件或手表的违规。因此,你可以非常明确你想忽略什么。例如,这可以设置为特定的组件、特定的许可证或特定的组件版本号。
基于时间的忽视
忽略规则可以设置为在一段时间内运行,这意味着,例如,您可以在开发过程中忽略某些违规行为3周,之后它们将再次被执行。
制定政策,以一种宽容的方式行事
这意味着,如果具有多个许可证的组件中有一个许可证不符合策略规则,但它符合策略规则至少一个其他允许的许可证类型,它将通过扫描不触发违例.
Alpine软件包技术支持
OCI图像支持
RubyGems绑定器支持
Helm V3支持
无论您是在公共云上开发云原生应用程序,还是在运营自己的自托管DevOps基础设施;您可以从JFrog平台的这些最新增强中受益,利用新的包技术,最大限度地降低使用Docker Hub的风险和成本,并通过检测和管理JFrog Xray漏洞和许可证违规来保护您的软件发布。
