Frogbot:保护你的git仓库!
Frogbot扫描创建的每个拉请求安全漏洞与JFrog x光.安装了Frogbot后,您可以确保新的拉请求不会同时向代码库添加新的安全漏洞。如果他们这样做,拉请求的创建者有机会在合并代码之前更改代码。
Frogbot直接在git UI中报告它的发现。它只是简单地在发现后添加一个注释。您可以将Frogbot视为您的新团队成员,确保您的代码安全。
了解更多:
- JFrog Frogbot
- 新Frogbot V2.3.2
- JFrog x光
- JFrog CLI开发插件注册表
- 阅读更多关于JFrog Frogbot这篇博文
转录:
你好!
今天我们要谈论的是最酷的机器人之一Frogbot。Frogbot是一个git机器人,扫描拉请求的漏洞。
在本视频中,我们将使用GitHub动作!
非常简单
在创建拉取请求或向现有的拉取请求中添加标签时立即执行此GitHub操作
Frogbot将运行,并将创建一个包含项目中发现的所有漏洞的新报告!
在我们添加Frogbot GitHub动作之前,Frogbot需要一个JFrog环境来扫描拉取请求。
我建议您创建自己的免费实例!去www.si-fil.com而且开始是免费的。
如何创建您自己的帐户,用户和安全访问令牌可以在专门的网络研讨会上找到www.si-fil.com!
我们将需要Jfrog平台的URL,用户名和密码或令牌作为git的秘密!!
让我们添加Frogbot GitHub动作!
我们可以使用Github动作模板!
我将选择maven模板。正如你所看到的,我们已经有了将GitHub动作添加到我们自己的工作流所需的所有信息
现在秘密…
从我们的JFrog平台,我们可以创建一个访问令牌,以允许Frogbot连接,运行扫描和生成报告。
正如你所看到的,我选择了这个选项!
在GitHub工作流目录下,应用项目已经定义了Frogbot yaml文件
这里我们定义了URL和访问令牌!
我们已经创建了一个名为log4j 1.2的拉请求
这增加了一个已知的关键漏洞
我们可以在评论部分的报告中看到这一点
严重程度
包装受到影响
版本
组件
组件版本
该报告是在创建拉请求时由Frogbot GitHub操作生成的
我们可以验证Frogbot动作的版本,即环境变量....
如果我们使用Frogbot扫描标签,这个GitHub动作可以一次又一次地执行!
记住只要添加标签就可以重新运行Frogbot动作!
一个新的报告将被添加到拉请求的评论部分。
感谢收看本期视频!编码快乐!
