博客家

JFrog Artifactoryとx射线の新機能にいて

通过保罗花园

6分钟阅读

JFrog Artifactory和x射线有什么新东西

要約

セルフホステッド版の码头工人のレート制限,違反の抑止,新しいパッケージタイプのサポートなどの最新情報をご紹介します。

2020年は間違いなく最近の歴史の中で誰にとっても最も困難な年の一つでしたが,特にDevOpsの世界の人々にとってはそうでした。JFrogは同じペースで開発と革新を続け,お客様にさらに優れたエンド・ツー・エンドのDevOps体験を提供し,お客様がオンタイムのリリースを維持できるように努めてきました。

JFrog平台に導入された新機能を詳しくご紹介します。

セルフホスティッド版のユ,ザのDockerレ,ト制限

ご存知のように,Docker社はDocker Hubから取得されるコンテナ;消費量に応じた制限を発表しました。具体的には匿名のフリーユーザは100回/ 6時間,認証されたフリーユーザは200回/ 6時間に制限されます。

JFrogとDockerのパ,トナ,シップにより,無料サブスクリプション(AWS, GCP, Azureで利用可能)を利用するユ,ザ,を含む,JFrog DevOps平台のクラウドユザはDocker Hubのメジ取得制限はありません。

JFrog Artifactoryで码头工人注册表機能はDocker社が発表した最新のレト制限の変更に対応するため,以下の機能を最適化しています:

  • headリクエストを使用
  • 新しいデフォルトの検索用キャッシュ期間
  • 強化されたログとメッセ,ジ
  • ダ(Docker Content Digest)

ラ@ @センス違反や脆弱性への対応

JFrog x射线レポ,トはオープンソースパッケージ,ビルド,アーティファクトのx光スキャンの結果を優先順位付けし,対策を講じることができます。各レポートは特定の時点でのOSSリスクのスナップショットを提供し,視覚的に分かりやすい方法で情報を表示します。

レポートの範囲は脆弱性のあるコンポーネント,影響を受けるアーティファクト,スキャン日,CVE ID, CVSS深刻度スコアでフィルタリングできます。また,修正を目的とし,”すべての脆弱性」、「修正プログラムがあるもの」、「修正プログラムがないものを表示するようにレポ,トすることもできます。

JFrog x射线报告

JFrog x射线レポ,ト

レポ,トの種類

レポ,トは以下の通りです:

  • 脆弱性レポートはアーティファクト,ビルド,ソフトウェアリリース(リリースバンドル)に含まれる脆弱性に関する情報,脆弱性のあるコンポーネント,CVEレコード,CVSSスコア,深刻度などの基準を提供します。
  • ライセンス・デュー・ディリジェンス・レポートは全てのコンポーネントとアーティファクトに関連するソフトウェア・ライセンスを提供し,使用しているコンポーネントとアーティファクトが企業のライセンス・ガイドラインに準拠しているかどうかを確認することができます。各コンポーネントに関連するすべてのライセンスタイプと不明なライセンスや認識できないライセンスが一覧表示されます。
  • 違反レポートでは選択したスコープで見つかった各コンポーネントのセキュリティとライセンスの違反に関する情報を提供します。違反の種類,影響を受けるコンポ,ネント,ア,ティファクト,深刻度などが含まれます。また,そのスコ,プは高度なフィルタ,で定義されます。

x射线レポトの特徴の一に,脆弱なコンポネントのンパクトパスがあります。コンポネントは1のビルドメジ内の複数の場所に現れたり,。x射线は脆弱性のあるコンポ,ネントがソフトウェアに影響を与えるすべての場所を表示します。

漏洞报告示例

脆弱性レポ,ト例

レポ,トのパ,ミッション管理

この新機能をサポートするために,JFrog平台に新しいパーミッションロールが追加されました。このロールはレポートの作成,編集,共有できる権限設定を可能にし,個々のユーザまたはグループレベルで割り当てることができます。

报告

セキュリティ違反抑止の管理

JFrog x射线忽略规则は不要な違反ノイズをフィルタリングするためにセキュリティ違反ルールをホワイトリスト,無視,承認することができます。ル,ルは以下のような理由で異なるチ,ムやユ,ザ,が無視することができます:

  • すでに脆弱性を認識しているが,安全性を保ことができる場合
  • お使いの環境が違反の条件を満たしていない場合
  • 脆弱性が致命的でなく,後で処理すれば問題ない場合
  • 重要でない違反によりビルドやダウンロ,ドが失敗してしまう場合

在JFrog x射线中设置一个忽略规则

JFrog x射线の忽略规则の設定

忽略规则の粒度

忽略规则機能は幅広い柔軟性と粒度の高さを備えており,脆弱性/ライセンス,コンポーネント,アーティファクト,看に基づいて違反を無視することができます。そのため,無視したい内容を非常に細かく設定することができます。例えば特定のコンポーネント,特定のライセンス,特定のコンポーネントのバージョン番号などを設定することができます。

无视规则

時間による無視

忽略规则は一定期間実行されるように設定することができます。例えば開発を強化している間,3週間は特定の違反を無視し,その後は再び検出されるように設定することができます。

許容範囲のある政策を設定

つまり,複数のライセンスを持つコンポーネントがポリシールールに準拠していないライセンスを1つ持っていても,他に少なくとも1の許可されたラセンスタプを持っていれば,違反なくスキャンを通過することができます。

Alpineパッケ,ジのサポ,ト

Alpine软件包技术支持

ArtifactoryがAlpine Linuxパッケ,ジをネイティブにサポートするようになり,高山Linux (* . apk)パッケージのデプロイとリゾリューションのプロセスを完全にコントロールできるようになりました。

ociメジのサポト

OCI图像支持

Artifactoryは公式にOCI準拠のレジストリであり,码头工人リポジトリでOCIイメージのサポートを追加しました。これにより,独自のOCIイメージをプッシュしたり,他のレジストリからプルして码头工人リポジトリにキャッシュすることができます。
サポートしているクライアント例Podman,小时,容器D,码头工人。

RubyGems捆绑器のサポ,ト

RubyGems绑定器支持

RubyGems Bundlerクラアント (“bundle install”)のサポ,トを追加しました。これを可能にするためにローカル,リモート,バーチャルの3種類のリポジトリすべてに新しいコンパクトインデックスのサポートを追加しました。

Helm V3のサポ,ト

Helm V3支持
Helm V3フォ,マット のサポ,トを追加しました.主な変更点は图表。yamlから依赖项を抽出したことです。また,index.yamlに新しいフィ,ルドを追加しました。例えば依存関係,アノテション,タプ,キュブのバジョンなどです。

パブリック・クラウド上でクラウド・ネイティブ・アプリケーションを開発していても,自社でホストしているDevOpsインフラストラクチャを運用していても,JFrog平台の最近の機能強化により,新しいパッケージ技術を活用し,码头工人中心を使用する際のリスクとコストを最小限に抑え,さらにJFrog x光で脆弱性やライセンス違反を検出・管理することにより,ソフトウェア・リリースを安全に保つことができます。

JFrog Artifactoryとx射线のこれらの新機能をセルフホスティッドクラウドで無料でお試しいただけます。

受欢迎的标签