问题标签 [jfrog-xray]

JFrog Xray可以用来直接扫描Maven神器吗？我能找到的所有示例和资源仅显示 Xray 扫描 Docker 图像，它还使用 Java 应用程序及其依赖项扫描层。

但是，即使它不是任何 Docker 映像的一部分，也可以直接扫描 Maven 工件吗？

我们已经使用 Artifactory PRO 多年了——目前是 Artifactory 7.15.3。

在对 XRay3 进行评估后，我们决定不购买 XRay。我尝试根据https://www.jfrog.com/confluence/display/XRAY2X/Uninstalling+Xray卸载 XRay ，因为 XRay 3 没有卸载程序。

卸载 XRay 后，我们在包视图中收到服务器错误 500。我在日志中找不到任何有用的提示。有没有人，谁有同样的问题？有什么建议么？

我正在进行 JFrog XRay 的掌舵安装，但遇到了障碍。我们使用公司自签名证书在内部安装了 Artifactory，因此 XRay 不会出现。路由器组件因“未知权威签署的证书”而失败。我该如何解决这个问题？有没有将根证书注入容器的方法？

我最近开始使用 JFrog Xray 进行exe, msi&zip扫描。

我正在使用GitHub repository和管道GitHub Actions

我的项目正在进行中C#，因此首先我尝试使用VS2019 的 JFrog 扩展，它扫描了所有DLLs正确使用的并提供了漏洞。

但是当我尝试通过 WebApp 执行它时 - 使用watchesand reports，它无法找到 EXE/ZIP 中的漏洞 - 存储在“JFrog Artifactory”中。这可能是什么原因？

此外，如果 JFrog Xray 扫描发现问题，是否有任何可能的方法可以使 GitHub Action 管道失败？

PS：我已确保正确应用 WebApp 中的监视和策略并在正确的目标工件上执行。

更新

根据建议的答案，我尝试了以下方法build-scan在工件上执行。

先决条件详细信息：

JFrog 分发网址：https ://orgname.jfrog.io/orgartifactoryname

工件的 Jfrog 路径：JFrogDistributionURL/ProjectName/Folder

执行的命令

jfrog rt c rt-server-1 --user=$username --url=$JFrogDistributionURL --apikey=$apikey

jfrog rt bs "my build name" 18

输出：

[信息] 触发 X 射线构建扫描...扫描可能需要几分钟。

[信息] 连接错误：服务器响应：401 Unauthorized, reconnecting...

我也尝试过设置服务器--password而不是打开--apikey但有同样的问题。

我正在尝试使用 Jfrog xray 扫描构建，但扫描未完成。相反，它仍然处于空闲状态。我的管道阶段配置如下

管道永远不会完成扫描。相反，它仍然处于空闲状态。

调试此过程的好方法是什么？我想用 xray 扫描构建。谢谢！

我们已经有了 Artifactory 使用的 RDS 实例，并且想要部署 Xray。如果可能，我们希望使用相同的 RDS 实例。为 Xray 部署配置相同的 SQL url/用户名/密码详细信息会产生此错误：

2021-04-26T16:58:36.852Z [jfxr ] [ERROR] [ ] [sql_layer:253 ] [main ] Failed to Initialize xray DB tables: pq: column "name" does not exist

I am working on a task to remove issues identified by JFrog plug-in that identifies the entries in the POM by risk category - high, medium etc.

In my POM, I am getting the red squiggly lines for these entries and I am trying to figure out the cause of those as well as how to fix it.

UPDATE Adding text for POM. The reason for adding image earlier was to show the red squigglies. They show up only for the 3 dependencies in the image

Also, when I look at the JFrog output, I would like to cleanup even the non-critical issues, like those shown in yellow in the below screen-shot.

I have not found a way to identify what the fix is in these situations and then apply the fix. This is a brand new application that I am working on, but using a POM from an existing application as it is a big pom and i would need to implement most of the similar functionality, but for a new pom, would like to start as clean as possible

Thank you for any suggestions.

Update 2

Thanks @yahavi

In the image below, the version that is showing up is for downpath version of another jar. Also, for the spring-boot-starter-web, in JFrog, it doesn't show any critical issues, but in the pom it has the red squigglys.

That is what I am wondering, how can I fix the downpath version dependencies.

Thanks

我想使用 Artifactory Xray 报告 api 来检索 pdf 报告。

当我执行请求时

我明白了

我想执行请求

对此的任何帮助将不胜感激。

我的应用程序使用 Maven 构建，它的依赖项包括 LibA 和 LibB。它们又依赖于同一个库 com.thoughtworks.xstream:xstream，但 LibA 依赖于 1.4.16 版本，而 LibB 依赖于 1.4.8。当我运行时mvn dependency:tree，我可以看到只有 1.4.16 版本正在使用，当我解压缩构建的 JAR 文件时，我看到只有 xstream-1.4.16.jar 存在。但是 Xray 报告说我的应用程序存在安全问题，因为它通过 LibB 依赖于 xstream 版本 1.4.8。

有没有其他人遇到过这种行为？有没有办法让 Xray 意识到我们的二进制文件与旧的 1.4.8 版本无关？

我在 Bitbucket 存储库中有很多包含源代码和二进制代码的应用程序。Jenkins 是我本地安装的 CI/CD 平台。在大多数情况下，Jenkins 作业只是从 Bitbucket 存储库中提取二进制文件并部署到目标主机 (Windows)。我们的开发人员通常在本地执行构建并将源文件和二进制文件 (.Net) 推送到存储库。一些项目是 npm 或 ant/maven 构建。我的 CISO 想将使用 JFrog Xray 的漏洞扫描集成到 CI 流程中。因此，我有几个问题。

1. JFrog/Xray 是否会在不切换到 Artifactory 进行版本控制的情况下将扫描作为构建步骤执行？
2. 我需要哪个版本的 JFrog/Xray？免费版能用吗？
3. 我需要在本地安装 JFrog/Xray，还是可以使用托管版本？
4. 我的用例是否有任何文档？我查看了 JFrog 的文档，但大多数与使用 Artifactory 相关。
5. 有没有更好的 JFrog/Xray 替代品？