一分钟带你了解JFrog Xray

JFrog Xray通过与JFrog Artifactory深度集成，在软件生命周期的任何阶段对二进制软件组件进行通用分析，从而使您信任您所管理的组件不存在任何安全问题。JFrog Xray通过递归方式遍历任何级别的依赖关系，扫描二进制组件及其元数据，可以提供对Artifactory中管理的任何组件中潜伏的问题做可视化展示。 另外，Xray与Artifactory的接口使其具有独特的优势，可以将Xray中扫描到的漏洞数据与Artifactory中存储的元数据相结合，在无需访问源代码的情况下，多维度的展示软件存在的问题。JFrog Xray还通过丰富的REST API实现全自动化，使其能够与CI / CD流水线集成，并允许其他二进制分析工具构建其独特的功能。

全语言

Xray支持Artifactory支持的各种类型语言的包的扫描。

扩展集成其他工具及漏洞库

虽然Xray自带了全面的漏洞数据库，包括NVD及VulDB。同时它也可以与其他漏洞数据库和工具集成。此外，通过Xray的开放API，客户可以将Xray与他们自己的漏洞数据库及工具集成使用。

可以自定义issue

Xray的功能不仅限于安全漏洞扫描;它还可以接收任何类型的软件组件信息，帮助您做出决策。例如，您可以自定义向Xray提供具有性能问题或严重缺陷的组件以及这些组件对您的软件的影响的信息。

深度扫描

Xray可以执行深度扫描，通过递归地遍历所有依赖关系，来创建软件组件之间的关系图。例如，在分析Docker镜像时，如果Xray可以发现它包含Java应用程序，还可以分析此应用程序中使用的所有.jar文件。

影响分析

Xray可以分析到一个组件中的问题是如何影响到公司中的所有其他组建的，并在组件图中显示整个影响行分析的关系链。

与Artifactory的原生集成

Xray是唯一可以与JFrog Artifactory深度集成的工具。

标签：JFrog pipelines   JFrog 容器注册   JFrog docker 注册    JFrog helm 仓库   供应链安全与合规