0

我在 Bitbucket 存储库中有很多包含源代码和二进制代码的应用程序。Jenkins 是我本地安装的 CI/CD 平台。在大多数情况下,Jenkins 作业只是从 Bitbucket 存储库中提取二进制文件并部署到目标主机 (Windows)。我们的开发人员通常在本地执行构建并将源文件和二进制文件 (.Net) 推送到存储库。一些项目是 npm 或 ant/maven 构建。我的 CISO 想将使用 JFrog Xray 的漏洞扫描集成到 CI 流程中。因此,我有几个问题。

  1. JFrog/Xray 是否会在不切换到 Artifactory 进行版本控制的情况下将扫描作为构建步骤执行?
  2. 我需要哪个版本的 JFrog/Xray?免费版能用吗?
  3. 我需要在本地安装 JFrog/Xray,还是可以使用托管版本?
  4. 我的用例是否有任何文档?我查看了 JFrog 的文档,但大多数与使用 Artifactory 相关。
  5. 有没有更好的 JFrog/Xray 替代品?
4

1 回答 1

1
  1. 不,没有 Artifactory 的 X 射线永远无法工作
  2. Artifactory 确实有适用于 Maven 项目的 OSS 版本,该版本是免费的,将是 onprem,但没有 Xray onprem,尽管您可以参考此链接以使用 Artifactory 和 Xray 创建一个免费的 JFrog 平台。
  3. 对于本地版本,需要本地环境许可,对于云,您可以使用可用的免费版本。
  4. 正如您提到的文件,Xray 需要 Artifactory 才能工作。
于 2021-07-16T15:10:01.933 回答