x射線報告支持多種類型,主要包括:
漏洞報告,提供產品、構建和軟件分發(分發包)中的漏洞信息,以及漏洞組件、CVE記錄、CVSS分數和嚴重性等標準;
擴展數據:
壹.背景
目前,隨著Tomcat、Docker、Kubernetes等常用組件高危漏洞的曝光,組件安全已經成為業界日益關註的安全掃描新的重要分支。加強DevOps過程中組件的安全掃描是很有必要的,這也是目前業界推薦的DevSecOps的重要組成部分。
作為屢獲殊榮的通用軟件組合分析(SCA)解決方案,JFrog Xray贏得了全球開發者和DevSecOps團隊的信任,能夠快速、持續地識別開源軟件的安全漏洞和許可證合規違規。
JFrog不斷努力,開發和創新,為我們的客戶提供更好的端到端DevSecOps體驗。本文詳細介紹了我們最近在JFrog Xray中增加的新功能,以幫助客戶保持其及時發布的效率、質量和安全性。
第二,支持柯南包和C/C++的漏洞掃描
JFrog Xray最近支持掃描部署到JFrog Artifactory和C/C++應用程序構造的Conan軟件包。Conan是C/C++語言的依賴和包管理器,是壹個可以在所有OS平臺上使用的開源解決方案。它與所有構建系統(如CMake和Visual Studio)和專有系統相集成。柯南的強大功能是為任何平臺和配置創建和管理預編譯的二進制文件。
x射線支持柯南和C/C++構造掃描的以下四種主要場景:
x射線掃描從ConanCenter下載到Artifactory的軟件包。
x射線掃描在Conan上構建並上傳到Artifactory的包。
如果您正在構建柯南包並將x射線集成到CI流程中,x射線將掃描這些柯南構建。
即使妳不使用柯南,x射線也會掃描妳的C++版本。
第三,支持CVSS v3版本
為了在DevOps中取得成功,您選擇的解決方案必須能夠讓您很好地完成壹系列關鍵任務。我們來對比研究壹下GitHub和JFrog,看看它們能否勝任妳在招聘中需要做的工作。
通用漏洞評分系統(CVSS)是壹個開放的行業標準,用於評估軟件安全漏洞的嚴重性。評分算法使用幾個指標來分配和標記安全漏洞的嚴重性分數,這些指標旨在估計這些安全漏洞的難易程度和威脅級別。
x射線從兩個不同的來源收集分數和嚴重性:
NVD:美國國家漏洞數據庫,包含已知漏洞及其各自的CVSS得分;
OS軟件包安全咨詢:壹些開源操作系統有自己的安全跟蹤系統,所以我們可以進壹步分析操作系統軟件包中的漏洞。
CVSS評分的評分範圍和嚴重程度
評分的目的是讓您根據威脅的級別確定響應和資源的優先級。分數從0到10不等,最高分為10。CVSS版本3也提供了嚴重性的描述,
如下所示:
關鍵(關鍵)
高級(高)
中等(中等)
低(低)
未知(未知)
Xray中設置的安全規則是根據CVSS v3評分或嚴重性級別(用於觸發違規)來衡量的。x射線將繼續支持CVSS v2評分,但只在CVSS v3評分不可用時使用。
四、紅帽安全掃描認證
JFrog Xray已通過紅帽認證,成為其紅帽合作夥伴漏洞掃描器認證計劃的合作夥伴。認證可以確保JFrog Xray識別的安全漏洞和許可證合規性數據是準確的,並且與紅帽軟件包的預期結果壹致,從而可以基於可信和認證的來源進行準確的風險評估。這意味著使用RPM軟件包的企業可以安全地使用JFrog平臺作為他們的DevSecOps平臺。