带x射线开箱即用的依赖和二进制扫描

左移安全意味着您，开发人员，在早期发现并修复漏洞和许可证违规SDLC。这就是为什么x射线扫描的二进制文件由您的构建推送到Artifactory，并在您的依赖项出现问题时提醒您。

但是更早地捕获它们，甚至在签入代码之前，对于开发人员向左转移是很重要的。因此，我们开始扩展Xray的功能，使您能够从JFrog CLI对本地文件系统目录中的源代码或二进制文件执行按需扫描。

以下是需要这些用例的一些原因:

• 并非所有二进制文件都存储在Artifactory中
• 在上传到Artifactory之前，发现构建中的任何漏洞/许可违规
• 安全人员可能需要扫描发送给他们的二进制文件以进行验证
• 组织希望只将批准的二进制文件部署到Artifactory中

有了这些JFrog CLI工具，开发人员、安全团队或其他人就可以在漏洞和许可证违规成为Artifactory单一事实来源的一部分之前很久就将它们排除在应用程序之外。

x射线依赖扫描

JFrog x光现在提供了功能扫描漏洞在你的源的依赖关系和使用JFrog CLI的许可证违规。易于使用的命令行工具，使您能够扫描可以随时随地运行的源目录，而无需编译、测试或部署到Artifactory，从而节省了解决任何问题的宝贵时间。

一旦通过CLI操作，Xray将扫描您的依赖项，就像扫描Artifactory存储库一样。该命令返回一个详细的扫描报告，其中包含在依赖关系结构中发现的任何漏洞或许可证违规的详细信息。此功能提供以下好处:

• 开发人员编写代码时的可见性，以便在上传到Artifactory之前了解构建中的任何漏洞或许可违规
• 运行临时安全扫描而不上传到Artifactory
• 坚持组织标准，其中二进制文件和源代码需要在上传到Artifactory之前得到批准。

它是如何工作的?

要从命令行开始扫描，必须首先将directory更改为包含源文件的顶级目录。然后你就可以执行JFrog CLI命令对您的文件执行x射线依赖项扫描。

一次只能对一种类型的项目执行审计。例如，要对源代码中的Maven项目执行扫描并报告所有漏洞:

$ jfrog xr audit-mvn

你也可以申请你的x射线策略规则到您的扫描手表在Xray中应用这些策略的项目或存储库路径。例如，要将“watch1”中使用的一组策略规则应用到Maven项目扫描中:

$ jfrog xr audit-mvn——查看“watch1”

完成后，默认情况下，它将生成一份违反这些安全和许可策略的引用依赖项的报告:

如果您愿意，JFrog CLI可以将报告生成为JSON文件，您可以使用您选择的其他工具来读取该报告。

x射线按需二进制扫描

单独作为一个开发人员或作为一个组织，您可能希望在开发期间安全地编码和构建您的软件，因为它可以节省您的时间，而不必在编译后查找和修复漏洞。与之前的新扫描功能一样，您还需要使用JFrog CLI来激活任何扫描功能按需二进制扫描。

您所需要做的就是指向本地文件系统中的二进制文件，然后您将收到一份报告，其中包含该二进制文件的任何漏洞和许可证违规列表。JFrog CLI封装了一个闭源组件，该组件包含提取二进制文件的逻辑，并从二进制文件合成组件图，类似于Xray在Artifactory中扫描二进制文件的方式。有关更多信息，请参见x射线安全与合规。CLI返回详细的扫描结果报告，其中包含在二进制文件中发现的漏洞、违规和许可的详细信息。

目前所有包类型都支持二进制扫描，除了码头工人很快就会有。

它是如何工作的?

执行x射线按需二进制扫描的过程与源文件扫描非常相似。例如，要将" watch1 "中使用的策略规则应用于本地文件系统中的二进制文件:

$ jfrog xr s "path/to/files/"——watch "watch1"

该命令将生成与上面所示类似的安全和许可证违规报告。类似地，您也可以将报告生成为JSON文件。

向左移动“Shift Left”

这些功能只是我们在当前版本中继续增强Xray的两种方式，使开发人员更容易访问漏洞和许可遵从性扫描。有关更多功能，包括最新的API增强，请参阅x射线发行说明。

如果你还没有使用x射线来确保你的软件版本更安全，开始使用一个免费的JFrog云帐户！