0

我最近开始使用 JFrog Xray 进行exe, msi&zip扫描。

我正在使用GitHub repository和管道GitHub Actions

我的项目正在进行中C#,因此首先我尝试使用VS2019 的 JFrog 扩展,它扫描了所有DLLs正确使用的并提供了漏洞。

但是当我尝试通过 WebApp 执行它时 - 使用watchesand reports,它无法找到 EXE/ZIP 中的漏洞 - 存储在“JFrog Artifactory”中。这可能是什么原因?

此外,如果 JFrog Xray 扫描发现问题,是否有任何可能的方法可以使 GitHub Action 管道失败

PS:我已确保正确应用 WebApp 中的监视和策略并在正确的目标工件上执行。

更新

根据建议的答案,我尝试了以下方法build-scan在工件上执行。

先决条件详细信息

JFrog 分发网址https ://orgname.jfrog.io/orgartifactoryname

工件的 Jfrog 路径:JFrogDistributionURL/ProjectName/Folder

执行的命令

jfrog rt c rt-server-1 --user=$username --url=$JFrogDistributionURL --apikey=$apikey

jfrog rt bs "my build name" 18

输出

[信息] 触发 X 射线构建扫描...扫描可能需要几分钟。

[信息] 连接错误:服务器响应:401 Unauthorized, reconnecting...

我也尝试过设置服务器--password而不是打开--apikey但有同样的问题。

4

1 回答 1

0

JFrog VS 扩展和 JFrog Xray 使用 2 种不同的方法扫描您的项目。

JFrog VS 扩展从文件系统中的依赖关系中构建传递依赖关系树。最终,依赖关系树包含构建程序所需的所有包。每个依赖项都发送到 Xray 进行扫描。

另一方面,通过 JFrog Xray 扫描构建的工作方式略有不同。X 射线扫描输入是构建工件。在 NuGet 层上使用深度递归扫描,它构建了包的工件和依赖项的完整图片。

此外,如果 JFrog Xray 扫描发现问题,是否有任何可能的方法可以使 GitHub Action 管道失败?

是的。我假设您通过setup-jfrog-cli GitHub Action 使用 JFrog CLI:

它实际上是jfrog rt build-scan命令的默认行为。

在此处阅读有关构建扫描的更多信息: https ://www.jfrog.com/confluence/display/CLI/CLI+for+JFrog+Artifactory#CLIforJFrogArtifactory-ScanningaPublishedBuild

于 2021-05-12T13:55:21.567 回答