Frogbot V2.3.2:保护您的git存储库!

转录:

Frogbot v2.3.2

今天我们要讲的是Frogbot。
本周发布了2.3.2版本。2022年8月的最后一周。
该版本包括以下新功能:
支持对pip, pipenv和Yarn的开口拉请求
在GitHub安全选项卡中显示扫描结果
我们还将操作模板添加到GitHub工作流模板中，因此您可以轻松添加它们。

青蛙机器人是什么?

Frogbot是一个Git机器人，它可以在你的pull请求被打开后扫描它们，也可以在pull请求被合并后扫描你的Git存储库。

所以. .青蛙机器人如何扫描拉请求?

嗯…Frogbot使用JFrog x光在背景中
在执行“Pull Request scan”工作流......之后
Frogbot将把扫描结果作为拉请求的注释添加。

Frogbot支持GitHub, GitLab，和Bitbucket服务器项目，管理他们的依赖:

• Npm
• 线2
• Maven
• Gradle
• 去
• 皮普
• Pipenv
• Nuget
• Dotnet

出于安全考虑，Frogbot没有自动触发。

在开发人员创建一个新的拉请求之后，git存储库的维护者可以触发Frogbot来扫描这个拉请求

扫描结果将只包括拉请求添加的新漏洞。
在创建pull请求之前存在于代码中的不是新的漏洞将不包含在报告中。

如果希望在报告中包括所有漏洞(包括旧漏洞)，请使用jf_include_all_vulnerability环境变量。

所涉及的步骤。

1. 开发人员打开一个拉请求。
2. Frogbot工作流自动被触发GitHub环境命名Frogbot正在等待维护者的批准
3. 维护者检查拉取请求并批准扫描
4. Frogbot可以在新的提交和批准每次扫描后再次被触发

拉请求注释是什么样子的?

如果工作流执行成功。扫描结果将显示是否发现漏洞!

如果没有漏洞，一切都是绿色的

如果存在漏洞，则将以下信息添加到Pull Request的注释中。

严重程度
影响包
版本
固定的版本
组件
组件版本
CVE

有了所有这些信息，我们可以防止合并具有已知漏洞的代码。
但是如果我们仍然合并pull请求会发生什么呢?
别担心，会有解决方案的!!

合并pull请求后扫描存储库

当提交被推送到存储库.....时触发扫描在拉请求中，Frogbot将添加一个提交，将易受攻击的依赖项升级到带有修复的版本。
在GitHub存储库中，Frogbot还在GitHub UI上添加了安全警报
多酷啊!!

扫描是用Xray完成的，并在推送到存储库的任何提交时触发
pull request的打开只在GitHub和GitLab.....中支持比特桶将很快被支持。

检查Frogbot文档，知道何时将启用!
好的，现在让我们将Frogbot添加到Github Maven项目中。

这是一个琐事专家项目。要添加Frogbot，我们需要配置JFrog环境的详细信息。在本例中，JF_URL和JF_ACCESS_TOKEN

JF_URL可以在平台配置中找到。平台安全。一般

我们可以在用户管理中生成一个访问令牌。访问令牌

确保GitHub Actions有权限创建拉请求。

创建一个新的“青蛙机器人”GitHub环境并添加人员或公共团队作为评审员。被选中的审查人员被授权在拉取请求时触发Frogbot扫描。

我们需要添加GitHub动作。
您可以从Frogbot GitHub存储库复制这两个操作
记住，我们将JF_URL和JF_ACCESS_TOKEN定义为秘密
我们可以从GitHub操作模板复制扫描和修复maven yml文件

一旦文件提交，扫描和修复工作流程就会触发，因为没有发现漏洞，我们可以正常继续
我将添加一个新的拉请求，它确实添加了一个已知的漏洞。
一旦PR被打开，扫描拉请求工作流就被触发，在这种情况下，我是唯一的维护者，所以不需要批准。
扫描结果作为注释添加!噢,不!
我将合并这个拉请求!!不要在家里这样做，除非你有很好的理由!
现在扫描和修复工作流发现了一个易受攻击的依赖版本，因此它将通过自动创建一个Pull请求来挽救一天!
创建修复程序拉取请求工作流被触发，新的代码扫描警报被发现并显示在Security选项卡/上