JFrog Xray和DevSecOps有什么新功能

当我们希望提高JFrog的质量和功能时DevOps的平台特别是在……的世界里DevSecOps，我们增加了强大的新功能，以进一步增强获奖JFrog x光．

下面详细介绍的功能巩固了Xray作为通用的地位软件组合分析(SCA)全球开发人员和DevSecOps团队信任的解决方案，能够快速、持续地识别开源软件漏洞和许可证遵从性违反。

柯南和C/ c++支持

x光扫描柯南包，以及C和c++版本，部署到JFrog Artifactory，业界唯一的通用库管理员而且容器注册表．Conan是C和c++语言的依赖项和包管理器，是免费和开源的，可在所有操作系统平台上工作。它集成了所有的构建系统，如CMake和Visual Studio，以及专有的。Conan的一个强大特性是，它能够为任何平台和配置创建和管理预编译的二进制文件。

Xray支持Conan和C/ c++的四个主要用例:

• x射线扫描从ConanCenter下载到Artifactory的软件包
• 用柯南构建的x射线扫描包被上传到Artifactory
• 如果你正在构建柯南软件包，并将x射线集成到CI过程中，x射线将扫描这些柯南构建
• 即使你不使用柯南，Xray也会扫描你的c++构建

CVSS v3的支持

通用漏洞评分系统(CVSS)是一个用于评估软件安全漏洞严重性的开放行业标准。评分算法使用几个度量标准为安全漏洞分配严重性分数，这些度量标准力图接近漏洞的容易程度和影响。Xray从两个不同的来源收集分数和严重性:

• NVD:国家漏洞数据库包含具有各自CVSS评分的已知漏洞
• 操作系统包安全建议:一些开源操作系统有自己的安全跟踪器，可以进一步分析软件漏洞在操作系统包内

评分范围和严重程度

目标是允许您根据威胁的级别对响应和资源进行优先级排序。2022世界杯阿根廷预选赛赛程分数从0到10,10是最高的严重程度。CVSS v3还提供了如下的严重性描述:

• 至关重要的
• 高
• 媒介
• 低
• 未知的

您在Xray中设置的安全规则是根据触发违例的CVSS v3评分或严重级别来度量的，如中所述创建x射线策略和规则．x射线将继续支持CVSS v2评分，但只会使用它如果CVSS v3评分是不可用的。

红帽安全扫描证书

JFrog Xray已经被红帽认证为合作伙伴集成在他们的红帽合作伙伴漏洞扫描器认证计划．通过认证可以确保JFrog Xray识别的安全漏洞和许可证遵从性数据是准确的，并与Red Hat软件包的预期结果一致，能够基于可信的、经过认证的来源进行准确的风险评估。这意味着使用RPM包的企业可以放心地使用JFrog平台作为他们的DevSecOps平台。

除了x射线漏洞扫描器认证，JFrog平台还获得了以下认证:

• 红帽认证的OpenShift操作员(适用于JFrog Artifactory和JFrog Xray)，以增强客户的安装和自动化
• 红帽认证UBI容器图像(对于JFrog Artifactory)，以确保Artifactory所运行的底层操作系统具有更高的可靠性、安全性和性能

这些令人兴奋的新特性只是我们对Xray的最新增强，随着DevOps安全性对企业变得至关重要，我们正在以快速的速度扩展Xray的功能。敬请期待更多有关Xray和JFrog平台为DevSecOps提供的功能的重要公告!