自定义x射线DevSecOps与私人数据

对于一些组织来说，即使是最好的也不够。这就是为什么JFrog Xray为您提供了一种方法来指定您自己的附加数据，以便在二进制文件到达生产环境之前检测它们中更敏感的问题。

JFrog x光是一个工具DevSecOps团队可以深入了解其应用程序中使用的开源组件。通过对工件存储库中的二进制文件进行深度递归扫描，Xray可以识别安全漏洞并帮助确保许可遵从性与你的组织的政策。有了这些额外的元数据，Xray可以自动响应违规行为，例如阻止下载或构建失败。

开箱即用，Xray使用来自行业领先来源的数据，包括基于风险的安全的VulnDB确定包或工件是否包含某个漏洞。VulnDB为DevSecOps提供了最完整的漏洞情报，比常用的CVE数据库多出近9万个漏洞(截至2019年9月)。

有了如此全面的DevSecOps数据，为什么还要添加自己的数据呢?公司或开发者想要这么做有以下几个原因:

• 您可能会认为某些东西是Xray的数据源所没有的漏洞。
• 您可以访问有关Xray数据源中未包含的软件组件的信息。
• 您可能拥有私有(非OSS)库，您已经跟踪了这些库的漏洞，并希望将其包含在您的x射线中安全扫描。

对于这样的用例，Xray支持定制的集成你自己的漏洞数据。通过自定义集成，您可以使Xray能够查看外部源以获取有关漏洞和许可的其他信息。就像JFrog的第一方数据源一样，如果您的服务器提供了关于软件组件的信息，Xray将应用安全和license遵从性策略您已经指定了。

创建自定义集成

添加自定义集成到x射线是非常简单的，你可以学习所有的细节，以及尝试从我们的文件x射线自定义集成演示在GitHub。对于那些已经熟悉x射线技术的人，我们将在这里展示演示的亮点。

有两部分需要设置:

• 您的自定义集成REST API
• JFrog x光

运行演示服务器

从项目的根目录运行服务器。API密钥由您决定，Xray使用它来通过RESTful API进行身份验证。

运行main。(< api key >） [< path-to-db-file >］

x光设置

从侧栏中的管理面板打开集成视图，以创建新的集成。

选择定制的集成然后配置积分。

产生安全违规

演示带有一个数据库的json文件。可以将新组件添加到该文件以触发安全违规。

{“component_id”:,“许可”:[{“版本”:,“许可”:“Apache 2.0 " ] } ], " 漏洞”:[{“版本”:,“source_id”:“0”}]}

在x射线中，可以手动触发对组件的扫描。用户还可以利用政策和监视，它将在违规发生时强制执行特定行为。

尝试一下

我们鼓励您在GitHub项目中探索Xray集成，并自己指导和运行这个示例自定义集成。

如果你还没有为DevSecOps尝试过x射线，注册免费试用Xray的本地或云。