自动检测试图渗透到构建中的漏洞
安全漏洞、许可证问题和拒绝服务攻击都是每天将您的生产系统置于高风险中的漏洞!JFrog Xray通过为您执行工件分析,使您的生活更轻松,在代码受到损害之前启用漏洞检测。如何自动化这个分析过程并将其集成到您的CI/CD中?这当然可以帮助您管理Xray暴露的许多漏洞,以下是您如何做到这一点。
JFrog x射线让您创建手表触发警报,为您提供所需的数据,可直接从其友好的用户界面访问。然而,有许多构件组成了一个构建,这可以转化为许多难以手动处理的警报。为了促进自动化,Xray提供了一个广泛的REST API这使您可以自动化您的流程。
Xray提供了许多REST API调用,这些调用将改善您的自动化体验,并使您无需访问UI就能获得所需的信息。
我的构造是什么?
我们将看到的第一个功能使我们能够创建图任何被x射线索引的工件或构建。这显示了工件/构建由连接组成,表明它对系统中其他工件/构建的影响。这些是工件组件图和构建组件图api获取我们的工件(包括存储库和Artifactory ID)和构建数据(包括构建名称、编号和Artifactory ID)的完整路径。响应JSON文件包含所请求的工件/构建的基本细节,以及以层次结构(树)结构表示的包含在其中的所有组件。这些API调用与组件的细节以及在UI中也可用的依赖关系图。
Diff不再为源代码保留
另一个能力是比较2个工件或构建(即做一个“diff”)使用工件依赖Delta和构建依赖关系增量api。这使您可以识别两个工件或构建之间的差异,从而关注具有触发警报的漏洞的新组件。回应包含三个部分:
- 包含在一个构建(“目标”)中而不在另一个构建(“源”)中的工件
- 相反——包含在另一个构建(“源”)而不是第一个构建(“目标”)中的工件
- 对两个构建都通用的工件
这提供了两个构建版本之间差异的清晰表示,使您能够准确地识别问题所在。
帮我总结一下!
最后,让我们用工件的总结和建设总结api,提供对特定的工件/构建进行详细的总结.这包括工件/构建中包含的许可证和漏洞的列表。此外,每个许可证和漏洞的受影响组件列表。此信息也可在好几个地方从UI内部。
结合这些REST API调用可以生成一些用于漏洞检测的非常酷的数据分析实现。例如,您可以发现依赖项版本冲突,并确定哪个组件升级可能在登台环境中,甚至在生产环境中创建了问题!
