JFrog Artifactory和Xray的新功能
通过
7分钟阅读
博士TL;
获取最新的自托管Docker速率限制,消除了冲突噪声和新的包类型支持。
毫无疑问,2020年对每个人来说都是近年来最具挑战性的一年,尤其是对DevOps领域的人来说。JFrog一直努力以同样的速度继续开发和创新,为我们的客户提供更好的端到端DevOps体验,并帮助客户保持按时发布的节奏。
让我们仔细看看最近在JFrog平台中引入的一些新特性。
自托管用户的Docker速率限制
您可能已经注意到,Docker宣布了新的以消费为基础的限制从Docker Hub提取的容器映像。具体来说,匿名免费用户每6小时被限制为100次,通过身份验证的免费用户每6小时被限制为200次。
JFrog与Docker的合作确保云用户的JFrog DevOps平台包括那些使用免费订阅(可在AWS、GCP和Azure上使用)的用户,将不会面临Docker Hub图像提取限制。
码头工人注册表功能现在在JFrog Artifactory中进行了优化,以适应Docker通过优化宣布的最新速率限制变化以下特性:
- 使用HEAD请求
- 新的默认检索缓存周期
- 增强的日志记录和消息传递
- 摘要头(Docker Content Digest)的使用
对许可证违规和漏洞采取行动
JFrog Xray报道使您能够轻松地对开放源代码包、构建和工件的x射线扫描结果进行分类并采取行动。每个报告都提供了一个特定时间点的OSS风险快照,并以直观的方式显示信息。
可以通过按易受攻击的组件、受影响的工件、扫描日期、CVE ID或CVSS严重性评分进行过滤来配置报告的范围。出于补救目的,您还可以配置报告以显示“所有的漏洞”、“有固定的'或'没有固定的”。
JFrog Xray报道
报告的类型
不同的可用报告包括:
- 许可证尽职调查报告,为您提供所有组件和工件,以及它们相关的软件许可,使您能够验证您正在使用的组件和工件符合您的公司许可指导方针。它列出了与每个组件关联的所有许可证类型,以及未知和未识别的许可证。
- 违规的报告,为您提供有关在所选范围中找到的每个组件的安全性和许可证违规的信息。包括违反的类型,受影响的组件和工件,以及严重程度。它的作用域也是用高级过滤器定义的。
x射线报告的独特功能之一是脆弱组件的影响路径。组件可以出现在构建映像或多个构建中的多个位置。x射线将显示所有容易受攻击的组件正在影响软件的地方。
漏洞报告示例
报表权限管理
JFrog平台添加了一个新的权限角色来支持这个新功能。它允许对谁可以创建、编辑和共享报告进行权限限制,并且可以在单个用户或组团队级别进行分配。
管理安全违规噪音
JFrog x射线忽略规则允许您加入白名单,忽略或接受安全违规规则,以过滤掉不需要的违规噪声。规则可以被不同的团队和用户批准忽略,原因如下:
- 你意识到这个漏洞,并且能够防范它。
- 您的环境不满足此违规的要求。
- 这个漏洞并不是一个障碍,您将在以后处理它。
- 阻止不重要的违规,以免构建失败或阻止下载。
在JFrog Xray中设置忽略规则
忽略规则的粒度
忽略规则特性为您提供了广泛的灵活性和粒度,允许您忽略基于漏洞/许可证、组件、工件或监视的违规行为。因此,您可以非常具体地了解您想要忽略的内容。例如,可以将其设置为特定组件、特定许可证或特定组件版本号。
基于时间的忽视
忽略规则可以设置为在一段时间内运行,这意味着,例如,你可以在开发过程中忽略某些违规行为3周,之后它们将再次被强制执行。
制定政策,以一种宽松的方式行事
这意味着,如果具有多个license的组件有一个不符合策略规则的license,但它符合策略规则至少一个其他允许的license类型它会通过扫描不引发违规。
Alpine封装技术支持
OCI图像支持
RubyGems捆绑器支持
Helm V3支持
无论您是在公共云上开发云原生应用程序,还是在运营自己的自托管DevOps基础设施;您可以从JFrog平台最近的增强功能中受益,利用新的软件包技术,最大限度地降低使用Docker Hub的风险和成本,以及通过使用JFrog Xray检测和管理漏洞和许可证违规来保护您的软件发布。
