问题标签 [jfrog-xray]

我们正在尝试使用 API 的 curl 命令在 X-Ray 中创建策略。这是参考的 URL
https://www.jfrog.com/confluence/display/XRAY/Xray+REST+API#XrayRESTAPI-CreatePolicy

我们尝试使用以下命令，但没有运气。

curl -v -u userid:password -X POST "http://jfrogxray-scanner.com/api/v1/policies" -d '{"priority":"1", "name":"sample"}' -d criteria='{"type":"minimum_security","value":"major"}'

我们不确定是否需要添加更多数据来使用 API 调用创建策略。如果我们需要在 curl 命令中提供更多数据以低于输出，我们该怎么做。

非常感谢您的见解！

安装 Helm 图表后，组件“mongodb”、“postgres”和“rabbitmq”启动成功。

但是，所有 4 个 XRay 微服务都无法启动，因为它们无法连接到 RabbitMQ：

我在命令行和管理控制台中检查了密码，它也失败了。在配置文件中，似乎可以设置一个空白密码。但是，我将密码更改为预期并验证了它：

仍然无法连接 XRay 服务。

我还注意到，rabbitmq 将失败的身份验证输出到日志，但当 XRay 无法连接时它不会。所以它也可能是一个连接问题 - 但是我尝试netcat从同一个命名空间中的另一个 pod 到 rabbitmq 并且它工作正常，所以端口应该是可以访问的。

我正在开发 Artifactory Pro 版本，但由于其局限性而考虑升级。我很困惑使用哪个版本的工件，这样我也获得了 XRay 许可证。我更喜欢购买 Artifactory Enterprise 版本，但正如我在此页面上看到的定价xray-pricing，我有点困惑。

它显示JFrog XRay HA(Add-on option). 如果我错了，请纠正我，这是否意味着 JFrog XRay 将附带企业版，但对于 XRay 的 HA 版本，我需要付费？

XRay 的文档说您可以使用 xray-env.cnf 文件进行自动部署脚本，但我在字段系统上找不到它，也不知道它应该放在哪里。

这个文件属于哪里？

我正在使用 JFrog XRay，它扫描了我们的 Artifactory 并在第三方库中发现了一个漏洞，这是我的应用程序的依赖项。

从组件扫描中，我单击 CVE 编号并获取此信息

但是，没有建议的“解决方案”。例如，“升级到 1.2.4”或“升级到 2.0.1”。

理想情况下，我不想安装此组件的所有版本并单独扫描它们。

在这种情况下，“参考”链接没有那么有用。

任何有关正确工作流程以找到对 JFrog Xray 中识别的易受攻击组件的安全升级的任何建议都将在这里提供最大帮助。

我正在对工作中的 JFrog Xray 进行评估，我想知道试用版是否有任何限制？我问的原因是因为它没有显示报告给组件的所有 CVE (struts2-core-2.5.1)。我可以看到公共 snyk.io 数据库包含所有 CVE，但 Xray 并未全部显示。

有人有同样的经历吗？

由于我的任务是为我的组织评估 JFrog Xray，因此我获得了评估许可证，选择了 Docker 安装，将其安装在我配置的 VM 上，现在正尝试连接到我们的 Artifactory 测试实例。

我们的 Artifactory 测试实例位于 nginx 后面，可以通过我们内部 CA 签名的 HTTPS 访问。所以现在尝试在进行基本设置时将 Xray 连接到它，Xray 显然抱怨不知道 CA。因此，我查看了如何解决此问题的文档，并阅读了以下内容：

从 2.0 版开始，已从 xray_config.yaml 文件中删除了 sslnsecure 参数。此配置已移至 Xray UI 中的常规设置。

我是否以某种方式误解了这一点（我的意思是我必须除非这个功能从未测试过），因为对我来说这似乎是一个鸡和鸡蛋的问题：我需要在常规设置中设置它，我将能够达到一旦我完成了该设置向导，我现在就陷入困境，但是我需要该设置才能继续在所述向导中。

话虽这么说：是否有任何受支持的方法可以使其正常工作，或者我是否需要在 Artifactory 中禁用 SSL 或设置一个终止 SSL 的代理才能在此处继续？

1. 我们如何在 redhat 独立服务器上使用我们自己的应用程序用户而不是用户和组 xray 安装 JFrog Xray？
2. xray 和 rabbitmq 用户和组是在安装 JFrog Xray 时创建的。但是我们需要由我们自己的用户和组来拥有和执行它。我们怎么能做到这一点？
3. 为什么必须在 root 或 sudo 用户下运行 Jfrog Xray 安装脚本？

尝试使用 Docker 安装程序在 CentOS 机器上安装 JFrog Xray。我创建了一个 /opt/xray 目录，我已将安装文件下载到其中。

然后在这个文件上运行 chmod +x xray。

当我尝试使用 sudo "./xray install" 安装时，我得到以下输出：

有什么想法可能导致这种情况吗？

我在 Artifact Repository 中有一组 zip 文件，我需要获取最新的工件。文物的结构如下所示

Homeloan
-> test-application-dev-local_1.zip
-> test-application-dev-local_2.zip
-> test-application-dev-local_3.zip
-> test-application-dev-local_4.zip
-> test-application -dev-local_5.zip
-> test-application-dev-local_6.zip
-> test-application-dev-local_7.zip

所有这些人工制品都是 Msbuild 的输出。每次当用户签入他们的代码时，它都会在 TeamCity 中构建，并且人工制品会上传到 Jfrog。

现在我有另一个 TeamCity 构建，它是在需要获取最新人工制品的临时基础上触发的，在这种情况下，我需要“test-application-dev-local_7.zip”。

我正在使用 TeamcityArtifactory 插件来获取人工制品，以下是我尝试过的规范。

通过上述规范，我得到了所有 7 个 zip 文件。我尝试在上述规范中添加限制（我不确定这是否是正确的方法）但我收到了错误

}

我不确定如何检索最近上传的人工制品。