什么是新的JFrog x射线和DevSecOps

我们希望提高JFrog的质量和能力DevOps的平台，尤其是在……的世界里DevSecOps，我们添加了强大的新功能，以进一步增强获奖的JFrog x射线．

下面详细介绍的功能巩固了Xray作为通用设备的地位软件组合分析(SCA)该解决方案深受全球开发人员和DevSecOps团队的信赖，可快速、持续地识别开源软件漏洞和许可证违规行为。

柯南和C/ c++支持

x光扫描柯南包，以及C和c++构建，部署到JFrog Artifactory，这是业界唯一的通用存储库管理器和容器注册表．Conan是C和c++语言的依赖和包管理器，是免费的开源软件，适用于所有操作系统平台。它集成了所有的构建系统，如CMake和Visual Studio，以及专有的。Conan的一个强大特性是它能够为任何平台和配置创建和管理预编译的二进制文件。

Xray支持Conan和C/ c++的这四个主要用例:

• x射线扫描从ConanCenter下载到Artifactory的包
• 用柯南构建的x射线扫描包上传到Artifactory
• 如果您正在构建柯南包并将Xray集成到CI过程中，则Xray将扫描这些柯南构建
• 即使您不使用Conan, Xray也会扫描您的c++构建

CVSS v3支持

通用漏洞评分系统(CVSS)是一个开放的行业标准，用于评估软件安全漏洞的严重性。评分算法使用几个指标为安全漏洞分配严重性分数，这些指标试图近似利用漏洞的容易程度和影响。x射线从两个不同的来源收集分数和严重程度:

• NVD:国家漏洞数据库包含具有它们各自的CVSS分数的已知漏洞
• 操作系统包安全咨询:一些开源操作系统有自己的安全跟踪器，可以进一步分析软件漏洞在操作系统包中

评分范围和严重级别

目标是允许您根据威胁的级别确定响应和资源的优先级。2022世界杯阿根廷预选赛赛程得分范围从0到10,10是最严重的。CVSS v3还提供如下的严重性描述:

• 至关重要的
• 高
• 媒介
• 低
• 未知的

您在Xray中设置的安全规则是根据CVSS v3评分或触发违规的严重级别进行度量的，如创建x射线策略和规则．x射线将继续支持CVSS v2评分，但只有在CVSS v3评分不可用时才会使用它。

红帽安全扫描认证

JFrog Xray已被红帽认证为其集成的合作伙伴红帽合作伙伴漏洞扫描程序认证计划．通过认证可以确保由JFrog Xray识别的安全漏洞和许可证遵从性数据是准确的，并且与Red Hat软件包的预期结果一致，从而基于可信的、经过认证的来源进行准确的风险评估。这意味着使用RPM包的企业可以放心地使用JFrog平台作为他们的DevSecOps平台。

除了针对Xray的漏洞扫描器认证，JFrog平台还获得了以下认证:

• 红帽认证OpenShift操作员(适用于JFrog Artifactory和JFrog Xray)，以提高客户安装和自动化程度
• 红帽认证的UBI容器映像(适用于JFrog Artifactory)，以确保Artifactory运行的底层操作系统具有更高的可靠性、安全性和性能

这些令人兴奋的新特性只是我们对Xray所做的最新增强，随着DevOps安全性对企业变得至关重要，我们正在快速扩展Xray的功能。敬请关注有关Xray和JFrog平台的DevSecOps功能的更多重要公告!