JFrog

    云客户?
    免费开始>
    在MyJFrog >中升级
    云b>的新功能






    跳到元数据的末尾
    转到元数据的开始

    概述

    Xray手表是查看和管理您的安全和许可证违规在JFrog平台的焦点。手表为您提供了灵活性,您需要满足您的特定安全和违规要求。你的年代选择要扫描安全漏洞和2022世界杯阿根廷预选赛赛程遵从性的资源,并确定检测到安全漏洞后要采取的操作。有关JFrog Xray如何处理监视和策略的更多信息,请参见x射线如何扫描你的文物?

    x射线如何处理手表上的策略?

    当扫描工件时,Xray为添加到Watch中的每个资源完成以下步骤:

    1. 检查存在:x光检查工件是否存在于资源中
    2. 检查过滤器然后用x光检查工件匹配为该资源定义的所有过滤器。
    3. 进程分配策略Xray独立处理Watch中的所有策略。对于每个分配的策略,Xray执行以下步骤:
      1. 处理规则根据优先级。
      2. 检查标准规则的。
      3. 如果满足条件,Xray生成a违反,自动操作被执行,该政策被认为是加工过的.没有必要继续执行该政策的后续规则。
      4. 如果不符合标准,则继续进行x光检查下一个规则
      5. 如果上述规则均不适用,则该策略被视为不适用加工过的,如果存在,则x射线继续执行下一个策略。


    从Xray 3.21.2开始,手表配置已经从JFrog平台UI中的应用程序模块移到了管理模块。

    JFrog Cloud新界面(测试版)

    进入x射线,选择手表和政策.要了解更多信息,请点击在这里

    页面内容

    创建手表

    先决条件

    在创建Watch之前设置您的策略。有关更多信息,请参见创建x射线策略和规则

    需要的权限

    要创建Watch,您需要拥有管理表用户/组的全局权限配置。

    步骤1配置“Watch常规设置”

    1. 政府模块,选择手表与政策手表选项卡单击新手表

      JFrog Cloud新界面(测试版)

      进入x射线,选择手表和政策.到l获取更多信息,请点击在这里

    2. 创建新表页面,设置手表的一般信息并在手表上分配手表收件人。
      选中后,如果通知收件人的策略集检测到漏洞,则所有Watch收件人都将收到电子邮件通知。

      从Xray 3.27.2及以上版本开始使用Artifactory版本7.21.3及以上版本,如果您正在使用项目,您可以创建一个全球手表为项目。


    步骤2为手表分配资源2022世界杯阿根廷预选赛赛程

    权限申请

    您只能在Watch中查看资源,如果2022世界杯阿根廷预选赛赛程它们是索引进行x射线扫描,并且您对该资源具有“查看”权限。

    你只能添加资源到一个手表或删除他们2022世界杯阿根廷预选赛赛程,如果他们被索引扫描的x射线,你有“管理”权限对资源。

    下一步是将资源分配给Watch。2022世界杯阿根廷预选赛赛程这些资源2022世界杯阿根廷预选赛赛程是存储库的集合,是Watch监视的连接的Artifactory服务中的构建。如果使用“项目”,则可以选择“项目”作为资源。

    管理Watch的资2022世界杯阿根廷预选赛赛程源包括两个步骤:

    1. 指定要监视的存储库、构建、发布包和项目。
    2. 应用过滤器只关注您感兴趣的存储库和构建中的构件。

    分配资源:在监视中分2022世界杯阿根廷预选赛赛程配资源:

    • 管理资源2022世界杯阿根廷预选赛赛程,进入各资源类型,并选择需要监控的资源。2022世界杯阿根廷预选赛赛程



    • 项目:
    • 选择要包含在每个资源类2022世界杯阿根廷预选赛赛程型中的资源。您有许多选项来选择要包含的资源:2022世界杯阿根廷预选赛赛程

      —资源类型下2022世界杯阿根廷预选赛赛程的所有资源:设置任何存储库任何构建任何包任何项目复选框,以监视所有已指定由Xray索引的资源。2022世界杯阿根廷预选赛赛程
      注意,此设置也将应用于定义Watch后创建的新存储库和构建。

      —“Packages”:根据配置文件设置回购路径包括回购路径排除模式。

      -构建和发布包:选择的名字通过模式

    -项目:选择的名字按模式(项目键)

    • 通过拖动或选择您感2022世界杯阿根廷预选赛赛程兴趣的资源并使用箭头图标,将您感兴趣的资源从左侧的“可用资源”列表移动到右侧的“已选资源”列表中。

    扫描外部资源2022世界杯阿根廷预选赛赛程

    从2.6版本开始,当扫描构建以查找受支持的包格式时,构建中不直接包含的外部(可传递的)依赖项是扫描,并将触发违规,如果符合标准指定的手表。目前,支持的包格式有:MavenNuGetnpmGradle并扫描外部资源2022世界杯阿根廷预选赛赛程sha - 256。

    步骤3设置存储库过滤器

    您为监视定义的过滤器确定指定的存储库中的哪些工件将在什么条件下生成违规。您可以在为监视指定的每个存储库上定义任意数量的过滤器,并且只有当工件满足为该资源定义的所有过滤器的条件时,它才会触发冲突。

    通过所有过滤器

    您可以为资源定义任意数量的过滤器,并且只有通过所有过滤器的工件才会触发违规。

    1. 要指定存储库上的过滤器,请选择过滤器选项卡。
    2. 选择存储库。存储库将显示在右列中,并带有预定义过滤器的列表。
    3. 从filter列表中选择要应用到存储库的筛选器。
      在下面的示例中,如果应用程序/ json的性能值在docker-local repo中被设置为false,则设置一个过滤器来触发违规。


    以下内容过滤器可用:

    名字

    		 描述 例子
    名字
    		 一个名字Filter使用正则表达式来指定工件的名称。只有当工件的名称与表达式匹配时,手表才会触发违规。

    例如,过滤器指定监视应该只触发rpm文件的违规。
    路径
    		 一个路径Filter使用正则表达式来指定存储库中工件的路径。只有当工件的名称与表达式匹配时,手表才会触发违规。注意,过滤器不认为存储库名称是路径的一部分。

    例如,过滤器指定手表应该只对路径中包含表达式“jfrog”的工件触发违规
    包类型
    		 Package Type过滤器指定工件的包类型。只有当工件具有指定的包类型时,监视才会触发冲突。

    Mime类型
    		 Mime类型过滤器指定工件的Mime类型。只有当工件具有指定的mime类型时,监视才会触发违规。

    例如,过滤器指定手表应该为任何带有“application/json”mime类型的工件触发违规。
    财产
    		 属性筛选器指定注释工件及其值的属性。只有当属性具有指定的值时,手表才会触发违规。

    例如,上面的过滤器指定,如果一个带有属性“performance”的工件的值为“false”,则手表应该触发一个违规。

    步骤4为手表分配策略

    1. 单击,为监视分配策略管理政策分配政策部分。
    2. 从左侧的Available Policies列表中,选择要应用到Watch的策略并将其拖动,或者使用箭头将其移动到右侧的Selected Policies列表中。

    3. 点击保存将策略分配给Watch。

      编辑策略

      对策略所做的编辑将自动应用于该策略分配给的所有监视。这将只对新扫描的工件起作用。你可以手动操作对现有工件应用监视

    编辑手表

    要编辑手表,请从手表列表中选择它,然后转到设置选项卡。

    手动激活手表

    一次,当扫描触发事件发生时,它将扫描指定资源中的工件,并相应地发出违规。2022世界杯阿根廷预选赛赛程然而,在扫描触发事件发生之前,系统中已经存在的工件将不会被Watch扫描。因此,为了确保Watch立即应用于相关的工件,您可以通过将鼠标悬停在上面并选择来手动调用它适用于现有内容

    不适用于所有存储库或所有构建

    如果监视是在特定资源上定义的,而不是在所有存储库或所有构建上定义的,则只能手动调用对现有内容的监视2022世界杯阿根廷预选赛赛程



    单击该按钮会弹出一个对话框,该对话框允许您指定分配给手表的哪些资源应该被扫描,以及定义工件最后一次被x射线扫描的日期范围。2022世界杯阿根廷预选赛赛程

    例如,选择“最近7天”将只扫描在最近7天内扫描过的工件。

    过滤表

    从Xray版本3.31开始。x及以上,您可以过滤手表列表中的手表页面在x射线缩小范围,只显示与您相关的手表。选择右上角的Filter按钮,过滤器就会出现。使用过滤选项显示您想要查看的Watch或Watch数据。

    • 没有标签
    版权所有©2023 JFrog Ltd。