Frogbot V2.1.2:保护您的git存储库!

转录:

你好。今天我们要讲的是最新版本的Frogbot!

是的，我们刚刚发布了版本2，我们增加了更多的功能

你可以在GitHub的jfrog/Frogbot上找到最新版本- 2.1.2版本

那么青蛙机器人是什么?

非常好的问题!

Frogbot是一个git机器人，它扫描拉请求的安全漏洞，并打开拉请求，将易受攻击的依赖项升级到带有修复的版本!

Frogbot将扫描一个拉请求，当它被打开或更新，它将张贴一个评论拉请求。

Frogbot支持多种项目类型....如果你有一个NPM, maven，或者Go项目，你现在就可以开始使用Frogbot !

你可以添加Frogbot到任何GitHub, Gitlab或Bitbucket存储库!

在添加Frogbot后，每当开发人员创建一个Pull Request，就会触发一个工作流!

扫描将只包括拉请求添加的新漏洞，而不包括已存在的漏洞。

该报告将被添加为Pull Request的注释，突出显示是否没有问题或是否发现问题!

添加严重程度，受影响的包，版本，固定版本和组件!

版本2为NPM、maven和Go项目添加的新功能是自动打开拉请求来升级依赖项的版本。

新版本建议基于x射线扫描功能。在创建自动拉取请求时，会考虑已知问题和修复所述问题的版本号。

此功能在Github和Gitlab上得到支持。Bitbucket将很快加入。

受益于更好的依赖项管理的第一步是将Frogbot添加到项目存储库中。

Frogbot需要一个JFrog环境来扫描拉取请求。如果你没有，你可以在云中创建一个免费的Jfrog环境。

确保拥有环境URL、用户名和密码，或者创建访问令牌。如果你想更详细地了解这个主题，你可以访问www.si-fil.com并阅读更多有关它的内容!

现在! !

让我们将Frogbot添加到GitHub存储库。

这里我有一个非常基本的Maven项目。

第一步是向maven存储库添加用于扫描和创建自动拉取请求的GitHub操作

为此，我们可以直接从jfrog Frogbot存储库复制模板

我们需要Maven模板进行拉取请求扫描。

要复制该动作，建议您使用原始版本的文档

您需要在GitHub工作流目录中添加Frogbot GitHub操作

创建一个新文件，并添加用于扫描拉取请求的Frogbot模板的内容。

不要忘记添加Frogbot GitHub动作来创建自动拉取请求

将这些文件添加到repo后，actions选项卡下应该有两个新的操作。

青蛙机器人和青蛙机器人修复。

让我们试试吧!!

我正在创建一个新的拉请求，它在依赖项上添加了一个众所周知的漏洞……在本例中是log4j版本1.2.17

不要在家里这样做!

一旦我们创建了pull请求，我们就可以看到一些动作被触发

如果我们仔细查看actions选项卡，会发现Frogbot工作流正在运行。

这个工作流有一个名为扫描拉请求的作业。

如果作业成功，将更新拉取请求。漏洞扫描报告中添加了一个新的注释!

由REPO所有者，管理员或任何用户评论或请求更改，甚至可能批准拉请求。

为了演示目的，我们将合并pull请求!

一旦合并了pull请求，就会触发新的工作流。

在这种情况下，我们对Frogbot修复运行非常感兴趣

在Frogbot任务完成后，如果有一个固定版本的脆弱依赖，Frogbot将创建一个拉请求

哦,不! !此依赖项没有固定版本......

这是真的!!

我们需要改变packageId和artifactid !!

需要一个新的拉请求来将packageId更改为

org。apache.logging.log4j

以及log4j core的工件id

一旦我们创建了拉请求，Frogbot就会触发拉请求扫描工作流。

这个版本也有漏洞问题!

所以一个新的评论被添加到拉请求与完整的扫描报告!!

但在这种情况下，有固定的版本可用!!

无论如何!我们将合并它……就像现在一样!

再说一次，不要在家里做这个!!

一旦合并了拉请求，就会触发创建自动拉请求以修复易受攻击的依赖项的工作流。

这一次，在工作流成功完成后，在我们的回购中有一个新的拉请求!!耶! !

拉请求是为了升级" org. org. "apache.logging.log4jlog4j core” library to version 2.12.4 with one commit by Frogbot

提交将相关依赖项更新到2.12.4版本

如果这个更新符合我们的需求(我希望如此!)我们可以批准并合并!!