x射线政策:轻松管理软件供应链

在现代软件中，管理软件有许多重要的方面。您不再只关心自己代码的质量，还关心质量、安全性、完整性、合法性等方面的问题开源包你用的。

如何处理这些质量域中的风险的知识存在于组织中的不同团队中，例如安全/DevSecOps团队、法律部门、CTO办公室等，他们使用的实践可能会根据许多参数而有所不同，例如风险的严重程度、包的受欢迎程度/维护程度以及在组织中使用它的项目的性质。

将这些公司治理策略转换为易于理解、扩展和维护的某种配置并不是一项简单的任务。

的最新的JFrog Xray 2.2版本引入了一种增强的机制，用于在二进制文件上定义和实施治理标准，为您的文件带来额外的安全性和遵从性软件依赖关系。中表示不同的组织安全性和许可证遵从性行为和策略x光然后很容易地在软件项目的不同上下文中执行它们。

什么是x光保险单?

政策允许您为您的组织定义一组标准的治理行为规范。每种策略类型确定行为规范应该应用于的治理域。最近引入的两种初始策略类型是安全性和许可证。在未来的版本中将提供其他策略类型。

每个策略由一组规则组成，每条规则定义了一个许可证/安全标准，并根据您的需要进行相应的一组自动操作。下图描述了从在存储库中引入新工件到扫描和潜在的自动操作的流程。

政策+监视=灵活的治理

策略是无上下文的，这意味着它只定义了应该强制执行的规范，而不是强制执行的规范。通过将策略分配给监视来执行策略。一个策略可以分配给多个手表。一个Watch可以有多个policy分配给它。

手表只定义要监视的资源的范围。2022世界杯阿根廷预选赛赛程您可以一次定义策略，并将其分配给任意多的手表。

当扫描工件时，Xray完成以下步骤:

• 检查目标资源2022世界杯阿根廷预选赛赛程检查工件是否存在于监视目标资源中。
• 检查过滤器检查工件是否与找到的表中的所有过滤器匹配。
• 流程分配策略: Xray独立处理找到的手表中的所有策略。对于watch中分配的每个策略，Xray执行以下步骤:
  • 按照优先级处理规则。
  • 检查规则的标准。
  • 如果满足条件，则Xray生成违规，执行自动操作，并认为策略已处理。没有必要继续执行政策中的下一个规则。
  • 如果不符合标准，则Xray继续执行下一个规则。
  • 如果不满足任何规则，则认为该策略已处理，如果存在，则Xray继续执行下一个策略。

创建安全策略

创建license策略

政策的价值

将你想要执行的行为从你想要执行它的上下文中分离出来，为你提供了以下关键值:

• 效率。通过一次配置策略并将其分配给多个手表，可以减少工作并节省时间。
• 灵活性。配置具有附加功能的多个行为，例如安全规则的优先级。
• 单独的问题。将权限委托给组织中的不同团队。与资源和过滤器相关的所有内容都在监视中，与安2022世界杯阿根廷预选赛赛程全性和许可证遵从性相关的所有内容都在策略中。

开始你的免费试用今天开始使用JFrog x射线！