一、背景

當(dāng)前，隨著比較常用的組件，如Tomcat、Docker、Kubernetes等陸續(xù)曝出存在高危漏洞，組件安全已成為業(yè)界日益關(guān)注的安全掃描新的重要分支。必須在DevOps流程中加強(qiáng)針對(duì)組件的安全掃描，這也是當(dāng)前業(yè)界推薦的DevSecOps的重要組成部分。

JFrog?Xray作為屢獲殊榮的通用軟件組成分析（SCA）解決方案，已得到全球開發(fā)人員和DevSecOps團(tuán)隊(duì)的信任，可以快速、連續(xù)地確定開源軟件的安全漏洞和違反許可證合規(guī)性的行為。?

JFrog持續(xù)努力，不斷開發(fā)和創(chuàng)新，以為我們的客戶提供更好的端到端DevSecOps體驗(yàn)。本文詳細(xì)介紹了近期我們?cè)贘Frog?Xray中添加的新功能，以幫助客戶保持其準(zhǔn)時(shí)發(fā)布的效率、質(zhì)量，和安全性。

二、支持Conan包及C/C++的漏洞掃描

JFrog?Xray最新支持掃描部署到JFrog Artifactory的Conan軟件包以及C/C++應(yīng)用構(gòu)建。Conan是C/C++語(yǔ)言的依賴和程序包管理器，是開源的解決方案，可在所有OS平臺(tái)上使用。它與所有構(gòu)建系統(tǒng)（如CMake和Visual Studio等），以及專有系統(tǒng)集成在一起。Conan強(qiáng)大的功能是可以為任何平臺(tái)和配置創(chuàng)建和管理預(yù)編譯的二進(jìn)制文件。

Xray支持以下四種Conan和C/C++構(gòu)建掃描的主要場(chǎng)景：

[if !supportLists]·?[endif]Xray掃描從ConanCenter下載到Artifactory的軟件包

[if !supportLists]·?[endif]Xray掃描基于Conan構(gòu)建并已上傳到Artifactory的程序包

[if !supportLists]·?[endif]如果您正在構(gòu)建Conan軟件包并將Xray集成到CI流程中，則Xray將掃描那些Conan的構(gòu)建

[if !supportLists]·?[endif]即使您不使用Conan，Xray也會(huì)掃描您的C++構(gòu)建

三、支持CVSS?v3版本

為了在DevOps上取得成功，您選擇的解決方案必須使您能夠很好地完成一系列關(guān)鍵任務(wù)。讓我們對(duì)比研究一下GitHub和JFrog，看看它們是否能夠很好地完成您招聘所需完成的工作。

通用漏洞評(píng)分系統(tǒng)（CVSS）是一個(gè)開放的行業(yè)標(biāo)準(zhǔn)，用于評(píng)估軟件安全漏洞的嚴(yán)重性。評(píng)分算法使用幾種指標(biāo)來(lái)分配和標(biāo)記安全漏洞的嚴(yán)重性評(píng)分，而這些指標(biāo)旨在逼近這些安全漏洞被利用的容易程度和威脅級(jí)別。Xray從兩個(gè)不同的來(lái)源收集評(píng)分和嚴(yán)重性：

[if !supportLists]·?[endif]NVD：美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)，包含已知漏洞及其各自的CVSS分?jǐn)?shù)；

[if !supportLists]·?[endif]OS軟件包安全咨詢：某些開源操作系統(tǒng)具有自己的安全跟蹤系統(tǒng)，可以進(jìn)一步分析操作系統(tǒng)軟件包中的漏洞。?

CVSS評(píng)分的分?jǐn)?shù)范圍和嚴(yán)重程度

評(píng)分的目的是允許您根據(jù)威脅的級(jí)別確定響應(yīng)和資源的優(yōu)先級(jí)。分?jǐn)?shù)的范圍是0到10，其中最高的是10。CVSS v3還提供了嚴(yán)重性描述，如下所示：

[if !supportLists]·?[endif]危急（Critical）

[if !supportLists]·?[endif]高級(jí)（High）

[if !supportLists]·?[endif]中級(jí)（Medium）

[if !supportLists]·?[endif]低級(jí)（Low）

[if !supportLists]·?[endif]未知（Unkown）

在Xray中設(shè)置的安全規(guī)則是根據(jù)CVSS v3得分或嚴(yán)重性級(jí)別（用于觸發(fā)違規(guī)）來(lái)衡量的。Xray將繼續(xù)支持CVSS v2評(píng)分，但僅在CVSS v3評(píng)分不可用時(shí)才使用它。?

四、紅帽安全掃描認(rèn)證

JFrog Xray已通過(guò)Red Hat認(rèn)證，成為其Red Hat Partner Vulnerability Scanner認(rèn)證計(jì)劃中的合作伙伴。通過(guò)認(rèn)證可確保JFrog Xray識(shí)別的安全漏洞和許可證合規(guī)性數(shù)據(jù)準(zhǔn)確，且與Red Hat軟件包的預(yù)期結(jié)果一致，從而能夠基于可信任的、經(jīng)過(guò)認(rèn)證的來(lái)源進(jìn)行準(zhǔn)確的風(fēng)險(xiǎn)評(píng)估。這意味著使用RPM軟件包的企業(yè)可以放心地將JFrog平臺(tái)用作其DevSecOps平臺(tái)。?

除了Xray的漏洞掃描程序認(rèn)證外，JFrog平臺(tái)還通過(guò)了以下認(rèn)證：

[if !supportLists]·?[endif]紅帽認(rèn)證的OpenShift操作員（用于JFrog Artifactory和JFrog Xray）可增強(qiáng)客戶的安裝和自動(dòng)化；

[if !supportLists]·?[endif]紅帽認(rèn)證的UBI容器映像（用于JFrog Artifactory）可進(jìn)一步確保運(yùn)行Artifactory的基礎(chǔ)操作系統(tǒng)具備更高可靠性、安全性和性能。

五、豐富的自定義報(bào)表

JFrog Xray的自定義報(bào)表使您可以輕松地對(duì)開源軟件包、內(nèi)部版本和交付制品的Xray掃描進(jìn)行分類并采取措施。每個(gè)報(bào)表都提供特定時(shí)間點(diǎn)的OSS風(fēng)險(xiǎn)快照，并以直觀的可視化方式顯示信息。

您可以通過(guò)按易受攻擊的組件、受影響的制品、掃描日期、CVE ID或CVSS嚴(yán)重性評(píng)分進(jìn)行篩選，來(lái)配置報(bào)表的范圍。為了進(jìn)行修復(fù)，您還可以將報(bào)表配置為顯示“所有漏洞”、“已修復(fù)的漏洞”或“沒(méi)有修復(fù)的漏洞”。

Xray的報(bào)表支持多種類型，主要包括：

[if !supportLists]·?[endif]漏洞報(bào)表，提供有關(guān)制品、內(nèi)部版本和軟件發(fā)行版（發(fā)行包）中的漏洞信息，以及諸如易受攻擊的組件、CVE記錄、CVSS分?jǐn)?shù)和嚴(yán)重性之類的標(biāo)準(zhǔn)；

[if !supportLists]·?[endif]許可證合規(guī)性報(bào)表，為您提供所有組件和制品及其相關(guān)的軟件許可證，使您可以驗(yàn)證所使用的組件和制品是否符合公司的許可證準(zhǔn)則。它列出了與每個(gè)組件關(guān)聯(lián)的所有許可證類型，以及未知和無(wú)法識(shí)別的許可證；

[if !supportLists]·?[endif]違規(guī)報(bào)表，為您提供有關(guān)在選定范圍內(nèi)找到的每個(gè)組件的安全和許可證違規(guī)的信息，包括違規(guī)的類型、受影響的組件和制品，以及嚴(yán)重性。它的范圍也由高級(jí)過(guò)濾器定義。

Xray報(bào)表的獨(dú)特功能之一是易受攻擊組件的影響路徑。組件可以出現(xiàn)在構(gòu)建鏡像中的多個(gè)位置或多個(gè)構(gòu)建中。Xray將向您顯示易受攻擊組件影響的軟件的所有位置。

六、管理“假陽(yáng)性”的安全噪音

JFrog Xray的忽略規(guī)則允許您設(shè)置白名單，忽略或接受安全違反規(guī)則，以過(guò)濾掉不必要的安全噪音。您可以設(shè)置規(guī)則，為不同的團(tuán)隊(duì)和用戶忽略安全噪音。忽略原因如下：

[if !supportLists]·?[endif]您已經(jīng)知道該漏洞，可以對(duì)其進(jìn)行防護(hù)；

[if !supportLists]·?[endif]您的環(huán)境不符合此違規(guī)要求；

[if !supportLists]·?[endif]該漏洞不是高危級(jí)別，稍后您將進(jìn)行處理；

[if !supportLists]·?[endif]停止不重要的，能夠使構(gòu)建失敗或阻止下載的違規(guī)處理。

忽略規(guī)則功能為您提供了廣泛的靈活性和精確度，使您可以忽略基于漏洞/許可證、組件、制品，或監(jiān)視的違規(guī)行為。這樣，您可以非常明確地了解要忽略的內(nèi)容，例如，可以將其設(shè)置為特定的組件、特定的許可證，或特定的組件版本號(hào)。

您可以將忽略規(guī)則設(shè)置為在特定時(shí)間段內(nèi)運(yùn)行。這意味著，例如，在加快開發(fā)速度的同時(shí)，您可以在3周內(nèi)忽略某些違規(guī)行為，之后將再次執(zhí)行這些規(guī)則。

七、總結(jié)

這些激動(dòng)人心的新功能只是我們對(duì)Xray所做的最新增強(qiáng)。隨著DevOps安全對(duì)于企業(yè)至關(guān)重要，我們正在迅速擴(kuò)展其功能。請(qǐng)持續(xù)關(guān)注JFrog Xray和JFrog Platform針對(duì)DevSecOps增強(qiáng)功能有關(guān)的重要公告！