使用JFrog Xray扫描软件包的安全漏洞
3个简单易用的命令扫描你的二进制文件,Docker镜像和开源依赖的安全漏洞和许可证违规
扫描您的包裹安全漏洞许可证违规SCA工具应该尽早在你的SDLC越早越好。这个概念也被称为“将离开,它可以帮助您的组织在软件开发过程的早期遵循安全策略和标准。
作为开发人员,这可能看起来很麻烦,但使用JFrog CLI很容易!使用一个简单的JFrog CLI命令行,您可以快速地扫描您的依赖项直接从源,在您的本地机器上,按需,并获得违规报告,详细说明已检测到的任何违规行为。让您深入了解代码内部的内容。
设置环境
在我们开始之前,我们需要使用最新的开发人员友好设置来设置免费的JFrog平台和JFrog CLI。这将花费不到几分钟的时间来完成。
Mac或Linux
如果你使用的是Mac或Linux,你可以使用curl工具开始:
curl -fL https://getcli.jfrog.io?setup | sh窗户
如果你用的是Windows,运行Powershell:
powershell "Start-Process -Wait -Verb运行powershell '-NoProfile iwr https://releases.jfrog.io/artifactory/jfrog-cli/v2/[RELEASE]/jfrog-cli-windows-amd64/jfrog.exe -OutFile $env:SYSTEMROOT\system32\jf.exe'";摩根富林明设置*现有JFrog平台用户可以使用JFrog CLI配置服务器通过在他们的机器上的任何地方运行以下命令:
3安全扫描命令
直接从终端运行这些扫描命令将返回一个完整的安全报告,其中列出了检测到的所有安全漏洞。
附加参考:为了自动化目的,也可以以JSON格式返回。要修改格式类型,可以提供format选项:-format =json/simple-json。使用-help或在文档.
让我们来看看每一个命令。
1.审计
我们将从直接扫描源代码上的项目依赖项开始。
Audit命令使用包管理器构建项目的完整依赖树并扫描其所有组件。
$ jf audit*该命令将自动检测项目使用的包管理器。
Maven(3.1.0或更高版本)、Gradle、npm、pip、pipenv、Go、NoGet、.net都支持此命令。
2.码头工人扫描
扫描我们的码头工人的图片,我们将运行以下ad-hoc扫描命令。
$ jf docker scan
中的安全性部分也可以查看扫描结果JFrog平台.
3.按需二进制扫描
要扫描特定目录中的所有文件并报告所有已识别的漏洞,请按需运行以下命令二进制文件扫描命令指向本地文件系统中的二进制文件。
$ jf scan "path/to/files/*"
继续探索
建立你的软件安全在开发过程中,不必在编译代码之后寻找和修复漏洞,从而节省了宝贵的时间。
使用JFrog CLI可以做更多的事情!JFrog CLI项目及其依赖项都是开源的,您甚至可以开发和分享你自己的插件.
提出问题或让我们知道您希望看到的其他功能,在项目的Github问题部分.
