漏洞检测为您的CI/CD管道与JFrog Xray

我的以前的博客文章讨论了如何直接从IDE中发现依赖项中的漏洞。然而，有时这种方法会阻碍开发人员完成他们的工作，从而降低他们的生产力。让我们来看看如何在不影响开发时间的情况下，在CI/CD过程中尽可能早地继续检测漏洞。

强制执行从构建时开始

作为最佳实践，您希望继续向开发人员提供他们需要的信息开发时间。这仍然让他们可以选择自己想要使用的组件，而不是强迫他们使用，从而允许创造性的自由。真正的强制执行应该在构建时间，其中所有活动部件都集成到构建过程中。这就是JFrog Xray集成的地方詹金斯CI和TeamCity可以提供帮助。如果一个新的漏洞进入您的应用程序，根据您自己的公司策略，Xray将扫描并使构建失败。

构建步骤

构建过程包括设置、依赖项解析、构建、测试和部署到生产环境等常规步骤。Xray允许您在构建工件部署到JFrog Artifactory(步骤4)后执行的管道中包含一个新的分析步骤(步骤6)。根据分析结果，构建将通过并提升到生产中，或者根据Xray生成的警报失败(步骤7/8)。失败的构建将显示在组件的屏幕，其中包含所有漏洞和严重级别的列表。

观看这个有用的截屏视频，了解如何将Xray集成到CI服务器中，并在不妨碍开发人员的情况下获得安心。这个视频将带你完成整个过程CI / CD管道给你从承诺到建立和成功推广的整个过程的完整画面。