“未雨绸缪”，这是一句古老的谚语，这句16世纪创造的真理更适用于21世纪的DevSecOps。越早了解漏洞，就能越好地避免它们成为软件的一部分。

这和“左移位”DevSecOps策略。而不是等待测试人员在构建的应用程序中捕捉漏洞，开发人员承担了更大的责任，将有风险的依赖项排除在他们构建的应用程序之外。

但是开发人员如何知道哪些依赖是安全的，哪些有问题呢?公共存储库Maven Central拥有超过270,000个可用模块，并且还在不断增加，所有模块都以不同的速度更新。Node.js注册表npm有超过35万个包。即使有漏洞扫描工具JFrog x光为了提供帮助，您如何在编写代码时对问题保持警惕?

一个IDE集成因为来自JFrog的x射线可以提供帮助。

扫描DevSecOps

如果你使用JFrog Xray，你已经在移动DevSecOps的路上了。Xray对您使用的包管理器中的依赖项执行自动扫描，包括Maven、Gradle和npm，并识别哪些包含已知漏洞。Xray使用VulnDB数据库，最全面和最新的日期漏洞情报可用，由基于风险的安全部门创建和维护。Maven Central有超过27万个可用模块，npm有超过35万个。开发人员如何知道哪些依赖是安全的?点击推特

Xray还标识每个依赖项的适用许可，因此组织可以避免使用与其许可不一致的代码政策。

因为x射线与工件存储库Artifactory，您总是可以在Artifactory的指示板中看到代理存储库中持有的依赖项有漏洞，以及它们构成的风险有多严重。管理员还可以配置JFrog Xray来阻止从Artifactory下载潜在的有害工件，以防止它们的使用。

选择IDE集成

为了使开发人员更容易做出这些决定，JFrog为一些最常用的ide提供了插件，这些插件可以将Xray的扫描结果直接带入编码编辑器。所以你可以看到，在你选择依赖的那一刻，你的选择是否会带来风险，并帮助你做出明智的决定。

的JFrog Xray插件IntelliJ IDEA和JFrog Visual Studio扩展已经可用，并帮助开发人员转移到左边。现在Eclipse IDE的用户有一个来自JFrog的插件也有了这个版本，在三个最流行的ide上转移对安全和许可证问题的关注变得更容易了。

它是如何工作的

为了理解它们是如何工作的，让我们看一下最新的Eclipse插件。

你可以找到Eclipse市场中的JFrog Eclipse IDE插件。要安装插件，可以拖动安装按钮移到Eclipse窗口。

一旦安装，你就可以连接插件到您的JFrog Xray实例通过设置其URL和登录凭据在其首选项。完成后，您可以单击测试连接要确认设置是否有效，请单击应用设置。

一旦你打开JFrog选项卡中，您可以看到问题Xray已经在依赖组件中识别出来了。您可以筛选结果，以便仅显示与严重程度风险。

在许可证信息选项卡，您可以识别和筛选应用于每个组件的许可证。

除了发展

当然，选择安全的依赖关系只是DevSecOps策略的第一步。今天被认为安全的软件包可能会在以后被发现是易受攻击的，或者该软件包的后续版本可能会引入新的风险。

这就是为什么JFrog Xray对工件存储库中保存的内容执行持续的影响分析。它定期扫描和分析组件，甚至是那些已经部署到生产环境的组件，并为新发现的漏洞提供警报和通知。它还执行深度递归扫描在二进制文件中，递归地深入分析影响软件的最小二进制组件。

这一切都是为了提高开发人员对安全违规行为的意识，开发人员是最能立即采取行动的人。问题得到更快的解决，公司和客户都得到了保护。

开发人员的工作台是DevSecOps的第一道防线。JFrog对Eclipse等流行ide的Xray集成是我们帮助人们摆脱阴影的一种方式。