JFrog Xray 是一种通用软件组合分析 (SCA) 解决方案,它与 Artifactory 原生集成,为开发人员和 DevSecOps 团队提供了一种简单的方法,可以在它们出现在生产版本中之前主动识别开源和许可证合规性漏洞。
1.早期发现
Xray早在依赖声明阶段就识别出安全漏洞和许可证违规,并阻止开发中存在安全问题的构建。在从代码到生产的整个软件开发生命周期中,对软件工件和依赖项进行自动化和持续的治理和审计。
2.本地、云、混合或多云解决方案
Xray可在本地(自我管理)和云端使用。Xray Cloud 托管在您选择的 Amazon Web Services、Google Cloud P
latform 或 Microsoft Azure 上,允许通过自动服务器备份、免费更新和保证正常运行时间来维护基础设施。
3.深度递归扫描
Xray 递归地扫描系统中的工件、构建和发布包,深入分析甚至影响软件的最小二进制组件。例如,在分析 Docker 映像时,如果 Xray 发现其中包含 Java 应用程序,它还将分析.jar该应用程序中使用的所有文件。
4.持续影响分析
Xray 分析一个组件中的问题如何影响公司中的所有其他组件,并在组件图中显示影响链,让您清楚地了解一个组件对另一个组件的影响。它会不断更新新的安全漏洞,执行影响分析以确定受问题影响的所有工件。
5.与 Artifactory 的原生集成
Xray 是唯一与 JFrog Artifactory 原生集成的安全扫描工具。作为JFrog Artifactory的补充产品,Xray可以访问 Artifactory 存储的丰富元数据,这些存储与深度递归扫描相结合,使 Xray 处于独特的位置,可以分析二进制工件之间的关系,并为您的组件架构提供彻底的透明度,以揭示一个组件中的漏洞对任何其他组件的影响。
6.漏洞数据库
Xray 带有 JFrog 的漏洞数据库,我们不断向其中添加新的组件漏洞数据。还包括 VulnDB,这是业界最全面的安全数据库,可进一步扩展可以扫描的漏洞范围。
7.通用工件分析
根据 JFrog 的通用方法,JFrog Xray 对 CI/CD 管道中的所有主要包格式执行工件分析。Xray 了解每种包装类型,知道如何对其进行解包以及每个底层包含的内容。
• 全球最大漏洞数据库,支持 NVD、VulnDB 两大漏洞扫描,支持对接其它漏洞数据源
• 支持扫描 Maven、Npm、Docker、Debian、Pypi、php、go、 NuGet 等18种
• 可实时阻止下载漏洞包
• 可提供漏洞修复建议
• 支持对多层组件包的深度检测
• 具备强大的影响性分析能力