XRAY:如何确定给定工件中存在多少漏洞

XRAY:如何确定给定工件中存在多少漏洞

JFrog鼓励实践DevSecOps．它将使您集中精力收集关于工件及其组件的尽可能多的信息。当然，在某些情况下，您需要确切地知道有多少漏洞在一个特定的工件中有哪些是它们各自的级别严重程度．为了自动做到这一点，让我们看一个易受攻击的Docker映像示例，其中包含47个高严重程度的漏洞和89个中等严重程度的漏洞。

先决条件:

• Artifactory而且x光
• 基于unix的操作系统
• Python

设置就绪后，现在可以生成索引工件中所有漏洞的完整详细列表。要做到这一点，请使用工件的总结Xray REST API调用:$ curl -uadmin -XPOST -H "Content-type: application/json" https://< x - ray-host>:8000/api/v1/summary/artifact -d @ artithing -digest.json
在artifact-digest.json，你会想进入校验和藏物的。在这种情况下，当扫描Docker映像时，您将需要sha - 1摘要manifest.jsonDocker映像中的文件。校验和可以在Artifactory UI中找到。artifact-digest.json: {
“校验和”:(
“dcea05bc0348712d9cf5b502df5fe7884bd20fd3”
］
｝
上面的cURL请求将为您提供一个json格式的报告，其中包括在工件中发现的所有漏洞。但是，由于此报告是作为一个长单线，它可能很难被解析。要克服这一点，你是可以的美化的JSON输出Python模块被称为json.tool：$ curl -uadmin -XPOST -H "Content-type: application/json" https://< x - ray-host>:8000/api/v1/summary/artifact -d @ artithing -digest.json|python -m json.tool > out.json
正如在上面的cURL命令中可以看到的，您将单行JSON输出发送到Python模块，然后将更易于阅读的输出保存到out.json．

现在，你会有一个有序的多行JSON文件，其中包含所有漏洞的列表。你要做的最后一件事就是数次数严重程度:高通过使用wcLinux命令:$ cat out。| wc -l . json | grep "\"severity\": \"High\
47
同样的道理也适用于"媒介“清规戒律:$ cat out。| wc -l . json | grep ""severity": "Medium"" | wc -l .89
上面的命令可以构建到单一的脚本，它将自动报告已被x射线索引的工件中的漏洞数量。

发布日期:2020年7月29日
最后更新:2021年2月8日

关键词:漏洞，漏洞报告，漏洞严重程度