一、背景

當前，隨著比較常用的元件， 如Tomcat 、 Docker 、 Kubernetes等 陸續曝出 存在高危漏洞 ，元件安全已成為業界日益關注的安全掃描新的重要分支。必須在 DevOps流程中加強針對元件的安全掃描，這也是當前業界推薦的DevSecOps的重要組成部分。

JFrog   Xray作為 屢獲殊榮的 通用 軟體組成分析（SCA） 解決方案，已得到全球開發人員和 DevSecOps 團隊的信任，可以快速、連續地確定開源軟體的安全漏洞和違反許可證合規性的行為。  

JFrog持續努力，不斷開發和創新，以為我們的客戶提供更好的端到端 Dev SecO ps 體驗。本文詳細介紹了近期我們在 JFrog   Xray中新增的新功能，以幫助客戶保持其準時釋出的效率、質量，和安全性。

二、支援 Conan 包及 C/C++ 的漏洞掃描

JFrog  Xray 最新支援掃描部署到 JFrog Artifactory 的 Conan軟體包 以及 C / C++ 應用構建。 Conan 是 C/C++ 語言的依賴和程式包管理器，是開源的解決方案，可在所有 OS 平臺上使用。它與所有構建系統（如 CMake 和 Visual Studio 等），以及專有系統整合在一起。 Conan強大的功能是可以為任何平臺和配置建立和管理預編譯的二進位制檔案。

Xray 支援以下四種 Conan和 C/C++ 構建掃描的主要場景：

·  Xray 掃描從 ConanCenter 下載到 Artifactory 的軟體包

·  X ray 掃描基於 Conan構建並已上傳到 Artifactory 的程式包

·  如果您正在構建 Conan軟體包並將 Xray 整合到 CI 流程中，則 Xray 將掃描那些 Conan的構建

·  即使您不使用 Conan， Xray 也會掃描您的 C++ 構建

三、支援 CVSS   v3 版本

為了 在DevOps上取得成功， 您選擇的解決方案必須使您能夠很好地完成一系列關鍵任務。讓我們對比研究一下 GitHub 和 JFrog ，看看它們是否能夠很好地完成您招聘所需完成的工作。

通用漏洞評分系統（CVSS）是一個開放的行業標準，用於評估軟體安全漏洞的嚴重性。評分演算法使用幾種指標來 分配和標記 安全漏洞 的 嚴重性評分， 而 這些指標旨在逼近 這些安全 漏洞 被 利用的容易程度和 威脅級別 。Xray從兩個不同的來源收集 評分 和嚴重性 ：

·  NVD ：美國國家漏洞資料庫，包含已知漏洞及其各自的 CVSS 分 數 ；

·  OS 軟體包安全諮詢：某些開源作業系統具有自己的安全跟蹤系統，可以進一步分析作業系統軟體包中的漏洞。  

CVSS評分的分 數範圍和嚴重程 度

評分的目的是允許您根據威脅的級別確定響應和資源的優先順序。分數的範圍是 0 到 10 ，其中最高的是 10 。 CVSS v3 還提供了嚴重性描述，如下所示：

·  危急（ Critical）

·  高階（ High）

·  中級（ Medium）

·  低階（ Low）

·  未知（ Unkown）

在 Xray 中設定的安全規則是根據 CVSS v3 得分或嚴重性級別（用於觸發違規）來衡量的。 Xray 將繼續支援 CVSS v2 評分，但僅在 CVSS v3 評分不可用時才使用它。  

四、紅帽安全掃描認證

JFrog Xray 已透過 Red Ha t認證，成為其 Red Hat Partner Vulnerability Scanner認證計劃中的合作伙伴 。透過認證可確保 JFrog Xray 識別的安全漏洞和許可證合規性資料準確，且與 Red Hat 軟體包的預期結果一致，從而能夠基於可信任的、經過認證的來源進行準確的風險評估。這意味著使用 RPM 軟體包的企業可以放心地將 JFrog 平臺用作其 DevSecOps 平臺。  

除了 Xray 的漏洞掃描程式認證外， JFrog 平臺還透過了以下認證：

·  紅帽認證的OpenShift操作員（用於JFrog Artifactory和JFrog Xray）可增強客戶的安裝和自動化 ；

·  紅帽認證的 UBI 容器映像（用於 JFrog Artifactory ）可進一步確保執行 Artifactory 的基礎作業系統具備更高可靠性、安全性和效能 。

五、豐富的自定義報表

JFrog Xray 的自定義 報 表使您可以輕鬆地對開源軟體包、內部版本和交付製品的 Xray 掃描進行分類並採取措施。每個報表都提供特定時間點的 OSS 風險快照，並以直觀的視覺化方式顯示資訊。

您可以透過按易受攻擊的元件、受影響的製品、掃描日期、 CVE ID 或 CVSS 嚴重性評分進行篩選，來配置報表的範圍。為了進行修復，您還可以將報表配置為顯示 “所有漏洞” 、 “已修復 的 漏洞” 或 “沒有修復 的 漏洞” 。

 

Xray的報表支援多種類 型 ，主要包括 ：

·  漏洞報表，提供有關製品、內部版本和軟體發行版（發行包）中的漏洞資訊，以及諸如易受攻擊的元件、 CVE 記錄、 CVSS 分數和嚴重性之類的標準；

·  許可證合規性報表，為您提供所有元件和製品及其相關的軟體許可證，使您可以驗證所使用的元件和製品是否符合公司的許可證準則。它列出了與每個元件關聯的所有許可證型別，以及未知和無法識別的許可證；

·  違規報表，為您提供有關在選定範圍內找到的每個元件的安全和許可證違規的資訊，包括違規的型別、受影響的元件和製品，以及嚴重性。它的範圍也由高階過濾器定義。

Xray 報表的獨特功能之一是易受攻擊元件的影響路徑。元件可以出現在構建映象中的多個位置或多個構建中。 Xray 將向您顯示易受攻擊元件影響的軟體的所有位置 。

 

六、管理 “假陽性”的安全噪音

JFrog Xray 的 忽略規則 允許您設定白名單，忽略或接受安全違反規則，以過濾掉不必要的安全噪音。您可以設定規則，為不同的團隊和使用者忽略安全噪音。忽略原因如下：

·  您已經知道該漏洞，可以對其進行防護；

·  您的環境不符合此違規要求；

·  該漏洞不是高危級別，稍後您將進行處理；

·  停止不重要的，能夠使構建失敗或阻止下載的違規處理。

 

忽略規則功能為您提供了廣泛的靈活性和精確度，使您可以忽略基於漏洞 / 許可證、元件、製品，或監視的違規行為。這樣，您可以非常明確地瞭解要忽略的內容，例如，可以將其設定為特定的元件、特定的許可證，或特定的元件版本號 。

 

您可以將忽略規則設定為在特定時間段內執行。這意味著，例如，在加快開發速度的同時，您可以在 3 周內忽略某些違規行為，之後將再次執行這些規則。

七、總結

這些激動人心的新功能只是我們對 Xray 所做的最新增強。隨著 DevOps 安全對於企業至關重要，我們正在迅速擴充套件其功能。請持續關注 JF rog Xray 和 JFrog P latform 針對 DevSecOps 增強功能有關的重要公告！