问题标签 [jfrog-xray]

我正在测试 JFrog Xray 与 Artifactory 的结合，并将 nodejs npm 项目部署为 Artifactory 的构建，然后由 Xray 扫描。（使用本指南）

在我的 package.json 中，我包含了一个我知道有漏洞的依赖项（lodash 4.17.10）。当我在 Xray 中查看项目时，状态为“已扫描 - 没有问题”。我还希望从 Xray 中看到项目依赖项，但我没有看到任何这些。

我应该能够看到 npm 构建的依赖项吗？由于该项目依赖于一个易受攻击的包，我认为 Xray 说没有问题很奇怪。

我正在尝试从 Azure DevOps 管道运行 X 射线扫描，但即使设置了所有内容，我也得到了

我有一个管道负责在工件上上传一个 nuget 包。这部分工作正常，我可以打包它并将其发布到我的存储库的工件上，没有问题。然后，在同一个版本中，我尝试使用相同的工件端点运行 X 射线扫描。

配置扫描任务时出现不同的错误。首先它说构建不存在，所以我不得不在人工方面声明它，然后它说没有这个名称的构建被索引所以我在索引设置中添加了构建，然后最后一条错误消息告诉我没有手表的存在让我认为问题出在 X 射线方面。

（绿色任务正在运行，红色任务失败）

在 Xray 方面，构建被索引（错误消息消失），我有几个手表，明确指定构建或所有构建。每个都至少有一个策略，并且如屏幕截图所示启用。这就是为什么我不明白为什么它找不到任何匹配的手表，因为所有版本都链接到手表

确切的消息如下

问题可能来自哪里或我缺少什么的任何想法？我三重检查了文档。尝试使用 CLI 手动调用 xray。仍然是同样的错误

多谢

我的应用程序代码最近被 JFrog XRay 扫描，它产生的结果表明正在使用的 Bouncy Castle BKS 版本 1 密钥库版本存在高度漏洞。我的应用程序使用的版本是 1.61 版，也就是“源版本 = 1.61”。XRay 报告该库的受感染版本为 <= 1.46 和 >= 1.49，这也是 XRay 捕获此问题的原因。这意味着只有 1.46 和 1.49 之间的版本未被感染，其他所有版本都被感染，而 1.61 不在该范围内。那不可能是正确的。NVD 网站 ( https://nvd.nist.gov/vuln/detail/CVE-2018-5382) 声明所有版本到 1.47（不包括）都被感染。这意味着使用中的版本 (1.61) 不属于 XRay 所说的受感染列表。XRay 所陈述的内容与 NVD 所陈述的内容之间存在直接冲突。

我与 XRay 漏洞数据库的管理员联系很少。我已经要求他们检查某些事情，但现在可用。

我希望有人可以帮助我了解问题可能是什么，以便我可以将该信息传递给 XRay 管理员。

我正在尝试将整个文件夹（与所有文件和子文件夹一样）从 Artifactory 存储库下载到我的本地文件夹。

注意 - 我使用的是 Artifactory Pro 云版

这就是我的 Artifactory 本地仓库（通用）的样子——

我在 jfrog CLI 中运行以下命令（使用本文作为参考）-

文件被下载，但它会导致奇怪的文件夹结构 -

下面是日志的截图

注意resume文件夹下的附加文件resume夹。为什么会这样？我希望将 Artifactory 文件夹下的确切结构files复制到我的本地文件夹中。请帮忙！

我正在redhat 上安装jfrog-xray（2.8.6 版）。

我已按照安装说明安装到裸机（与 docker 相比），安装似乎进展顺利。

但是，当尝试启动所有服务时，似乎它们都没有启动。

以下是 ./xray.sh satus 命令产生的内容：

当我查看 xray-server (sudo journalctl -u xray-server) 的日志条目时，我得到以下输出：

我创建了一个测试 NuGet 包，它指定了对 jQuery 1.4.2 的依赖。当上传到我的 Artifactory NuGet 服务器时，XRay 可以正确检测 jQuery 上的安全问题。但是，当我上传将 jQuery 1.4.2 列为依赖项的测试 NuGet 包时，XRay 不会将我的包标记为易受攻击的包。

1) 测试我的 Artifactory 服务器中的 jQuery 1.4.2 Nuget 包被正确检测为易受攻击。

2) 向我的测试包添加了一个依赖项，其中列出了 jQuery 1.4.2。（我怀疑是区分大小写的问题，所以我还尝试了一个小写依赖作为“jquery”）。

3) 尝试了除 jQuery 之外的其他已知易受攻击的包

这些是我用来创建我的测试 NuGet 包并将它们推送到 Artifactory+XRay 云试用实例的命令。

Artifactory 报告我的测试包有一个依赖项。浏览包时可以看到以下属性。

在我所有的测试尝试中，XRay 都没有检测到我的测试包 (RogerCruz.VulnerabilitiesGalore) 是易受攻击的，尽管它对易受攻击的 jQuery 1.4.2 具有指定的依赖关系。

我的期望是它应该因为这个声明而检测到它：

“对 NuGet 包的所有层进行深度递归扫描 Xray 以递归方式剥离 NuGet 包的不同层及其依赖项，确保软件中包含的每个软件工件都已被扫描以查找问题和漏洞。”

来源：https ://jfrog.com/integration/nuget-xray/

我试图将我们的 xray 放在反向代理后面，并希望配置一个位置路径，以便在 /xray 下可以找到我的 xray，并在 /artifactory 下找到我的工件。可以在 xray_config.yaml 中某处指定路径吗？

我们使用 Jenkins，将人工制品和构建信息发布到 Artifactory，然后进行 X 射线扫描。我们发现的问题是，我们似乎只获得了工件的某些内部版本号的 X 射线“组件”报告。没有错误，除了报告似乎不在 Xray 中（通过“组件”搜索并使用 Artefact 名称时）。

例如，如果人工制品是 hellofred::develop::55，那么我们可能会进行 X 射线扫描（如下所示），并且该人工制品的报告确实存在于 X 射线中。但是，当我们从 Jenkins 进行另一个构建时（没有更改代码，而是重新构建、部署和扫描），我们看到一切都成功了，并且没有看到任何错误。但是，我们在 Xray 中看不到 hellofred::develop::56。它仍然说最新的是55！解决问题的最佳方法是什么？

作为标准，我们使用 Jenkins JFrog 插件代码来进行 X 射线扫描。例如，我们的管道代码看起来像......

该报告中的 Jenkins 控制台输出示例甚至向我们显示了指向 hellofred::develop::56 的链接的 URL，但是当我们单击它时，它会将我们带到最新的 hellofred::develop::55。（这是因为似乎没有 56 的报告） 例如。Jenkins 控制台输出的一些摘录是：

寻找有关 X-Ray 如何帮助检测或防止在 Microsoft Windows 机器上安装旧版本软件的示例。

我们使用 hashcorp 打包程序来构建新的 Windows 映像，有时开发人员会潜入旧的 dotnet 或 java 安装。如果这些来自我们的人工服务器，我们可以使用 xray 通知我们有关使用这些旧版本的任何人的信息吗？我看到了如何保护 linux 机器而不是 windows 的示例。

我正在使用这个插件 org.jfrog.buildinfo 将文件上传到工件。

当我使用.jar 时它正在工作，因此 jar 文件不会上传到工件。但是当我使用正则表达式 %regex[ .jar] 它不起作用。

我想排除所有 .jar 文件，除了使用这个正则表达式：%regex[(?!TrainBatch).*.jar]

我的配置是：

任何想法如何使用这个插件的正则表达式？

提前致谢。此致