如何为您的工件设置软件安全性和遵从性

确保团队和站点使用的所有开放源码(OSS)组件安全的最简单方法是使用软件组合分析(SCA)工具．您需要一种自动化和可靠的方法来管理和跟踪您的开放源码使用情况。

有了JFrog x射线，你就可以了设置漏洞和许可证符合性扫描内置于您的软件开发生命周期(SDLC)．On-prem，在云中，或混合，Xray为您的软件组件快速提供企业范围内互连的可见性软件分发没有漏洞或许可证问题。这篇博文将带你走过这些步骤。

在开始之前

以下是你需要做的:

• JFrog云订阅(免费，可作为云或自托管安装。)

步骤1:登录到您的环境

使用默认U登录sername:管理,密码: on-prem安装的密码，或通过电子邮件提供给您的云安装凭据。

步骤2:使用所选的存储库设置JFrog Artifactory

以下是你可以做到的方法建立一个私有的、远程的、虚拟的Docker注册表>

步骤3:定义策略

政策定义安全和许可遵从行为规范。它们根据组织的需要定义执行的规则和自动操作。

在Application模块中单击安全与合规>政策菜单项。

添加一个类型为“Security”的新策略。点击新规则并设置为"所有严重性"

请注意:您还可以定义在发现新的安全问题时执行的自动操作。例如，触发一个webhook，通过电子邮件通知，阻止下载和失败构建。如果没有启用，您只会在web UI中看到信息。

步骤4:选择要监视的存储库，并将策略分配给一个监视

手表定义您想要监视的资源的范围，例如2022世界杯阿根廷预选赛赛程构件库和构建。我们将创建一个新的手表，并将刚刚创建的策略应用于它。

在Application模块中单击安全与合规>手表菜单项，并添加一个新的手表。

点击添加存储库并选择要包含在此监视中的存储库。

既然已经选择了资源，就可以创建策略本身了。2022世界杯阿根廷预选赛赛程

点击管理政策并选择我们在上一步中创建的策略。

步骤5:运行扫描!

一旦创建了Watch，当扫描触发事件发生时，它将扫描指定资源中的工件，并相应地发出违反。2022世界杯阿根廷预选赛赛程

但是，在扫描触发事件发生之前(例如将新工件推入存储库)，Watch不会扫描系统中已经存在的工件。因此，为了确保Watch立即应用于相关工件，您可以手动调用它。

将鼠标悬停在我们刚刚创建的手表上并选择应用于现有内容．

指定分配给监视的哪些资源应该被扫描，以及一2022世界杯阿根廷预选赛赛程个日期范围，该范围定义了工件需要驻留在目标中的时间量，以便被扫描。

例如，选择“Last 90 days”将只扫描在最近90天驻留在目标中的工件。

请注意: x射线扫描可能需要一段时间才能完成并显示漏洞结果。

下面是其中一个被检测对象的依赖树安全漏洞．

阅读关于推荐的最佳实践的更多信息登陆JFrog x射线>

就是这样!

现在，剩下的就是你自己试试吧．