内容驱动的组件分析

JFrog x光一年前首次发布。我们的第一篇文章强调了x射线不仅仅是一种安全扫描工具。在过去的一年里，我们推出了更多与众不同的功能，比如下载阻塞，集成更多安全漏洞这样的供应商水的安全，BlackDuck,与您的CI/CD管道集成为了保证你的建筑安全，“差分”分量图和一个更多。最后，所有这些特性都用于生成有用且有意义的警报，这些警报将指出您正在使用的软件组件中的问题和漏洞。虽然这种方法运行良好，但我们在过去一年的观察和与客户的多次会谈中发现，我们可以在工作流程中做出改进。

内容驱动的工作流

以前的工作流是事件驱动的。Artifactory中的一个事件触发了扫描，扫描触发了警报。但是这会导致无状态警报，这些警报聚集了许多问题，每个问题都可能影响许多组件。从我们的客户会话中，我们发现，x射线用户通常对特定的组件感兴趣;引入代码库的新工具、构建或依赖项。所以他们想要一种简单的方法来找到那个组件，看看它是否有任何问题或漏洞。这催生了内容驱动的组件分析;我们在Xray 1.8中添加了一个新的工作流，它是这样的:

增强搜索- >组件下钻- >检查问题

组件分析从增强搜索开始

新组件的搜索让您提供比以前更多的参数，让您筛选结果和磨练您正在寻找的确切组件。您可以通过组件类型(构建、包或文件)、创建日期、修改日期、最小严重性、名称等进行搜索。

浓缩组件显示

使用增强搜索缩小搜索结果范围后，可以选择感兴趣的组件并单击向下钻取获取一组丰富的详细信息，包括所有版本、每个版本的问题和漏洞、最高问题严重性等。

获得快速修复版本

当你去看医生时，你不只是想知道你得了什么病;你也想要解药。Xray 1.8丰富的组件显示就是这样做的。除了提供受漏洞感染的所有版本外，它还提供修复版本-建议通过升级到漏洞已修复的版本进行修复。

与你的问题亲密接触

从丰富的组件显示中，您可以选择要查看的任何问题详细的信息对其进行全面的影响分析，以查看系统中受此问题影响的所有其他组件。

还有什么？

虽然新的内容驱动的组件分析在管理二进制文件的安全性方面向前迈出了一大步，但这并不是Xray 1.8所提供的全部。

垃圾进，黄金出

x射线开始使用的原始数据可以很好地与垃圾相比。在不同的来源和不同质量的数据之间，需要进行相当多的处理才能将这些数据转化为一致的漏洞和问题数据库。在Xray 1.8中，我们对算法和启发式进行了许多改进，这些算法和启发式可以关联和匹配来自不同来源的数据，从而提供有关漏洞的更大和更准确的细节。在Maven组件的情况下，我们已经完全替换了漏洞数据，甚至在将漏洞添加到数据库之前手动管理漏洞。结果是一个更连贯和准确的数据库，提供更好的覆盖率和更少的误报。

持续集成的团队成员

这个版本也扩展了XrayCI / CD集成到TeamCity，这样您就可以扫描构建，并在发现它们具有受感染的组件时使其失败。请继续关注未来关于这方面的更多细节。

将这些漏洞扼杀在萌芽之中

预防胜于治疗。我们都知道这一点，所以我们希望在开发过程中尽可能早地检测漏洞。Xray已经处理过生产系统连续二值分析，建立时间CI / CD集成，现在将漏洞分析引入到开发阶段。通过直接与IntelliJ IDEA集成，开发人员可以看到他们在软件中包含的任何Maven组件的完整分析。这赋予了开发人员特权和责任，以评估是否使用受感染的组件。请关注这方面的帖子。

就是这样。嗯，不完全是。我们还极大地改进了扫描性能，尤其是Docker图像，从整体上提高了Xray的响应能力。完整的存储库扫描可以快几个数量级。当然，还有一些常见的bug修复。要了解所有细节，请查看发布说明。

已经在用x射线了吗?太好了。要用内容来驱逐漏洞。下载最新版本。

不使用x光?去吧,试一试。