Frogbot:保护你的git仓库!
Frogbot扫描为。创建的每个pull请求安全漏洞与JFrog x光.安装Frogbot后,您可以确保新的拉取请求不会在代码库中添加新的安全漏洞。如果他们这样做了,那么pull请求的创建者就有机会在合并之前更改代码。
Frogbot直接在git UI中报告它的发现。它只是在其发现的基础上加上评论。您可以将Frogbot看作是您的新团队成员,负责保护您的代码安全。
了解更多:
- JFrog Frogbot
- 新Frogbot V2.3.2
- JFrog x光
- JFrog CLI开发者插件注册表
- 阅读更多关于JFrog Frogbot的信息这篇博文
转录:
你好!
今天我们要讲的是Frogbot,最酷的机器人之一。Frogbot是一个git机器人,它扫描拉取请求中的漏洞。
在本视频中,我们将使用GitHub动作!
真的很简单
一旦创建了拉取请求或将标签添加到现有的拉取请求中,GitHub就会执行此操作
Frogbot将运行,并创建一个新的报告,其中包含项目上发现的所有漏洞!
在我们添加Frogbot GitHub操作之前,Frogbot需要一个JFrog环境来扫描拉取请求。
我建议您创建自己的免费实例!去www.si-fil.com免费开始。
如何创建自己的帐户,用户和安全访问令牌可以在专门的网络研讨会上找到www.si-fil.com!
我们将需要Jfrog平台的URL,用户名和密码或令牌作为git的秘密!!
让我们添加Frogbot GitHub动作!
我们可以使用Github Action模板!
我将选择maven模板。正如你所看到的,我们已经拥有了将GitHub动作添加到我们自己的工作流中所需的所有信息
现在是秘密…
从我们的JFrog平台,我们可以创建一个访问令牌,以允许Frogbot连接、运行扫描并生成报告。
正如你所看到的,我选择了那个选项!
在GitHub工作流目录中,应用项目已经定义了Frogbot yaml文件
这里我们定义了URL和访问令牌!
我们已经创建了一个名为log4j 1.2的拉取请求
这增加了一个已知的关键漏洞
我们可以在评论区看到这一点
严重程度
包裹受到了影响
版本
组件
组件版本
报告是在创建拉取请求时由Frogbot GitHub操作生成的
我们可以验证Frogbot动作的版本,环境变量....
如果我们使用Frogbot扫描标签,这个GitHub动作可以一次又一次地执行!
记住,只需添加标签即可重新运行Frogbot动作!
一个新的报告将被添加到拉取请求的注释部分。
感谢收看本期视频!编码快乐!
