问题标签 [jfrog-xray]

我刚刚开始在 prem 上试用 Artifactory Pro 和 Xray 30 天，使用 docker-compose 站起来。

大多数功能都可以正常工作，但是当我尝试通过 UI 同步 Xray 漏洞数据库时，它会失败。查看 xray 服务器服务日志，我看到：

2021-08-03T08:54:44.091Z [33m[jfxr][0m [1m[31m[ERROR][0m [f1000c9d14bbcc48] [updates_job:389] [main] 更新工作者 id 0 无法从 https:// 下载更新jxray.jfrog.io/api/v1/updates/onboarding?version=3.25.1：无法获得在线更新---在/go/src/jfrog.com/xray/internal/jobs/scanner/scanner_job.go： 793 (DownloadOnlineUpdates) --- 原因：访问失败：https://jxray.jfrog.io/api/v1/updates/onboarding?version=3.25.1 返回状态码：401 2021-08-03T08:54： 44.091Z [33m[jfxr][0m [1m[31m[ERROR][0m [f1000c9d14bbcc48] [updates_job:341] [main] 无法下载在线更新---在 /go/src/jfrog.com/xray/internal /jobs/updates_job.go:397 (UpdatesJob.downloadUpdateUrlsAndLastUpdateTime) --- 原因：在 /go/src/jfrog 获取在线更新失败。com/xray/internal/jobs/scanner/scanner_job.go:793 (DownloadOnlineUpdates) --- 原因：访问失败：https://jxray.jfrog.io/api/v1/updates/onboarding?version=3.25。 1 返回状态码：401 2021-08-03T08:55:01.076Z [33m[jfxr][0m [34m[INFO][0m [] [samplers:327] [main]

如果我切换到离线同步并运行离线更新，我会得到类似的响应：

~/src/artifactory ❯ jfrog xr offline-update --license-id= [为发布而编辑] --version=3.25.1 [信息] 正在获取更新... [错误] 响应：服务器响应：401 未经授权

我假设这是一个许可问题？请问有什么建议吗？- 我假设 xray 试验包括对漏洞数据库的访问？

我们正在尝试将 Xray 与我们的 Jfrog Artifactory 集成。在 Amazon Linux 2 中，我们尝试使用 docker compose 进行安装，同时运行 config.sh

运行以下 docker compose 命令后

启动rabbitmq：docker-compose -p xray-rabbitmq -f docker-compose-rabbitmq.yaml up -d

启动 postgresql： docker-compose -p xray-postgres -f docker-compose-postgres.yaml up -d

开始： docker-compose -p xray up -d

xray 路由器在 20 秒后重新启动，出现以下错误

我们检查了是否有任何 selinux、firewalld 或 iptables 被阻塞，但都处于禁用状态。

有人可以帮助我们解决问题吗？

现在私有 IP 可以访问 Artifactory 服务器，我们在 Artifactory 的同一 VPC 中创建了 Xray。现在 Xray 的所有容器都在 Xray 服务器中运行，但现在我们遇到了不同的问题。在 xray 服务器容器中，我们得到以下日志

对此有任何想法吗？

我一直在研究使用 JFROG Xray 扫描我的远程 conda-forge 和 cran 存储库，但它似乎不受本机支持。因此，如果我制作手表，那么很自然，无法扫描 conda-forge 和 cran 的远程存储库。

有没有人遇到过想要在 XRAY 中扫描 conda 或 cran 包的问题，​​修复它，并愿意就您如何实现它提供一些指示？

在此先感谢您的任何建议。

我正在使用 jfrog xray 来检测我的设置中的漏洞/许可证问题。在我的一个项目中，我使用 gradle 构建 android 应用程序，将其推送到 jfrog artifactory 并在该 apk 上使用 xray。在我的 jenkinsfile 中，我使用 xray 如下

对于基于 maven 的项目，我得到了正确的结果，但对于 gradle one，我得到了以下结果：

我想了解如果 jfrog 是否正在扫描 apk，请对此提供帮助。

我正在使用 JFrog Cloud Pro X（来自 AWS 市场）来检测我的设置中的漏洞/许可问题。在我的一个项目中，我正在使用 Gradle 构建一个 android 应用程序，将其推送到 Jfrog Artifactory 并在该 apk 上使用 Xray。Jenkins 配置如下所示进行扫描

对于基于 maven 的项目，我得到了正确的结果，但对于 Gradle 1，我得到了以下结果：

我想了解，如果 Jfrog 是否正在扫描 apk，任何有关他的帮助将不胜感激

根据最近的 JFrog X 射线扫描，我们的应用程序 (.NET 5) 由于依赖于特定版本的 Microsoft.NETCore.Platforms，因此存在“严重”漏洞。有一个较新版本的软件包解决了漏洞，我希望我的项目改用它。我遇到的问题是，这不是我们明确添加到项目中的包，而是一些其他包所具有的依赖项，因此仅将更新版本的包添加到项目中是不够的完全删除依赖；我仍然可以在 project.assets.json 中看到对“坏”版本的引用。升级到最新版本的顶级包有所帮助，但仍然留下了一些对 Microsoft.NETCore 的“坏”版本的引用。

例如，我们使用的是最新版本的 Microsoft.ApplicationInsights，但这依赖于 System.Diagnostics.PerformanceCounter，后者依赖于“坏”的 Microsoft.NETCore.Platforms。

TLDR；我希望能够告诉我的项目“如果您在依赖关系树中的任何位置都依赖此包，请不要使用版本 X，而是使用版本 Y”，但我不确定是否有办法这个。

大家早上好，有人在这里使用 JFrog 吗？我需要一些关于如何使用 Xray 扫描存储库的基本指导。它目前返回零违规，但我不确定它是否正在扫描

鉴于最近的 log4j CVE，我想用 xray 重新扫描所有以前扫描的组件。这有可能吗？“立即扫描”和等效的 API 端点似乎不会扫描以前扫描过的组件。

我在看 jFrog X 射线的试验。设置非常简单。在安装过程中，我必须提供 Artifactory URL 和 Join 密钥。一切都很好。现在我想从 Artifactory 断开 X 射线。在不对我的 Artifactory Repos 产生任何影响的情况下执行此操作的正确方法是什么？

谢谢克里斯蒂安

有人可以帮助通过rest api为工件生成漏洞报告吗？也许示例示例会有所帮助。查看了以下文档，但我不清楚 https://www.jfrog.com/confluence/display/JFROG/Xray+REST+API#XrayRESTAPI-GenerateVulnerabilitiesReport