x光3。X快速入门指南:

首先要知道的是，x射线是相当密集的资源，因此你将需要满足以下要求系统需求以确保适当的性能。

一旦您有了一台满足指定要求的机器，请遵循以下步骤本指南安装x射线。

现在已经安装了Xray并连接到Artifactory实例，您已经准备好开始了!

1.数据库同步:

设置Xray实例时要做的第一件事是触发数据库同步。JFrog的工程师们将来自内部漏洞研究以及私有和公共数据库的信息汇总到一个数据库中。这是所有Xray发现的基础，因此，直到数据库同步成功完成Xray才会为扫描提供有效的结果。

您可以从下面的Artifactory UI手动触发数据库同步管理→x射线→设置→常规→数据库同步

从该菜单中，您可以检查DB同步的状态，如果它尚未启动，您可以通过按以下按钮触发它。

请注意，虽然第一次同步将是相当密集的，需要很长时间，所有后续的同步将是快速的，几乎不明显。

2.索引资源:2022世界杯阿根廷预选赛赛程

为了向监视添加存储库或构建，首先需要将它们添加到Indexed Resources。2022世界杯阿根廷预选赛赛程您可以从下面的Artifactory UI访问已索引2022世界杯阿根廷预选赛赛程的资源管理→x射线→设置→常规→索引资源2022世界杯阿根廷预选赛赛程

从该菜单中，只需按右上角的“Add a Repository”，然后从弹出式菜单中选择您希望x射线访问的存储库。

如果您想索引构建，在左上角的Build选项卡下使用相同的方法。但是在“构建索引”菜单中，您可以选择按模式对构建进行索引。您可以学习如何索引所有内建这篇文章．

3.政策和观察:

下面我将给出一个简单的策略和监视概述。你可以在这篇文章中找到更详细的信息:创建x射线策略和规则”。

策略是无上下文的安全或许可证遵从规则集。他们决定在扫描中标记什么。
要开始并创建新策略，请在UI中导航到管理→x射线→监视和策略，然后选择新策略

在那里，您可以在三种类型的保单中进行选择。

每种类型的策略都有自己特定的一套规则:

1.安全:

与漏洞分析相关的一组规则。

• 最小严重性(次要、主要、严重、全部):在JFrog漏洞数据库中的最小安全漏洞严重性。如果工件或构建包含具有所选严重性或更高级别的漏洞，则规则将满足标准，将执行自动操作，并且策略将停止处理。
• CVSS评分(1-10):应用于规则的CVSS评分范围。这用于细粒度控制，而不是使用预定义的严重性。评分范围基于CVSS v3评分，如果CVSS v3评分不可用，则基于CVSS v2评分。
• 只有当固定版本可用时才生成违规:Xray不会为不包含固定版本的问题生成违规。如果以后有了固定的版本，就会产生冲突。

2.许可:

一组规则，可让您决定在构建中允许或禁止哪种类型的许可。

• 允许的许可证:指定允许的OSS许可证列表，这些许可证可以附加到组件上。如果组件中存在的OSS license不在允许列表中，则规则将满足条件，生成违规，并执行自动处理，策略将停止处理。
• 禁止的许可证:指定一个禁止组件附加的OSS许可证列表。如果组件指定了任何OSS许可证，则规则将满足标准，将生成违规，将执行自动操作，并且策略将停止处理。
• Disallow Unknown License:指定无法确定License的组件所需的行为。如果发现具有未知许可证的组件，将触发违规。

3.操作风险:

组件操作风险是指在项目中使用过时或不活跃的开源软件组件的风险。

• 最小风险(高、中、低):预设的风险值。了解更多在这里．
• 自定义条件:
  • 在以下规则之间使用between (AND/OR):布尔运算符。
  • 是否已结束生命:OSS软件包的开发人员是否宣布开发已经停止或软件包已经过时?
  • 发布年龄大于(以月为单位):如果软件包已经发布了至少X个月。
  • 自当前版本以来的发布次数大于:如果OSS包从当前版本以来至少经历了X次。
  • 发布节奏少于(每年):如果每年发布的版本少于X个。
  • 提交次数少于(每年):如果包每年的提交次数少于X次。
  • 提交者的数量少于(每年):如果包有少于X个开发人员的贡献。
  • 风险等级(低、中、高):至少与计算出的风险值匹配。

这些规则中的每一个在触发时都可以具有自动操作。

指这篇文章有关自动操作的更多信息。

现在您的策略已经设置好了，您可以创建监视来扫描您的工件并执行我们刚刚设置的规则。

要创建一个手表，在与策略相同的UI菜单中，导航到Watches并选择New watch。

这里只需在“管理资源”下选择一个选项。2022世界杯阿根廷预选赛赛程在这里，您将只看到第2步中索引的存储库和构建，因此，如果没有看到要查找的资源，请返回到第2步。

一旦您选择了所需的资源，通过选择“Manage policies”来分2022世界杯阿根廷预选赛赛程配之前创建的策略。
在那里，您将能够为您的手表选择一个或多个策略，以便在扫描工件时使用。

这样就完成了!现在您的手表已经成功设置，每次上传到选定的资源将被自动扫描和标记，如分配给手表的策略中所述。2022世界杯阿根廷预选赛赛程

如果您想扫描在手表设置之前资源中已经存在的数据，只需单击“Apply on Existing Content”就可以在2022世界杯阿根廷预选赛赛程手表的目标上运行历史扫描。