JFROG
XRAY

持续安全保护和
通用制品分析
什么是 JFrog Xray

通用制品分析

JFrog Xray 提供通用解决方案,该解决方案可以支持所有主要的程序包类型并能集成多种元数据库,例如与漏洞、许可证合规性、组件版本等相关的元数据库。
与其他二进制分析产品不同,Xray 根据制品的特定打包方式对其进行分解。 Xray 了解每种程序包类型,深谙如何解压缩以及每个基础层包含什么。 Xray 会对每个解压缩的组件进行单独检查,及时发现潜在的漏洞和违反政策的行为,并将解压缩的组件映射及合并到反映您整个组织的软件结构的 Xray 通用组件图中。 这可帮助您全面了解软件依赖项,真正了解发现的每个问题的影响。 Xray 会通过定期扫描组件来提供持续保护,那些曾被确认安全,但可能被新发现漏洞攻击的组件也不例外。

信息就是力量了解您所依赖的开源组件

借助 Xray 的先进技术,您便可以了解您所使用和创建的制品
使用了哪些开源组件。

管理二进制文件

无论您在使用何种技术产品,都可以通过 Artifactory 集中管理您的二进制文件。 作为 JFrog Platform 的一部分,Xray 具有出色的集成能力,可以扫描所有二进制文件。

深度递归扫描

Xray 支持所有主要的程序包类型,具备解压缩功能,且可通过递归扫描来查看包的所有基础层和组件依赖项,即使其被打包成 Docker 镜像和 zip 文件。

组件

Xray 创建一个组件图,展示您的完整制品和依赖项结构。 这可以提供出色的可见性,让您了解在软件任何部分发现的问题有何影响。

安全与合规了解组织状态

Xray 拥有丰富的漏洞和许可证情报,可助力您了解正在使用哪些许可证,以及您依赖的每个开源组件是否存在任何安全漏洞。

漏洞与合规情报

利用全面且高时效性的漏洞情报 VulnDB 以及其他漏洞、许可证合规性、组件版本的元数据来源,让您放心使用软件。

持续扫描

数据库不断更新,让您及时掌握关于您的二进制文件安全性与合规性的相关消息。

影响分析

借助您的制品和依赖项结构的组件图,Xray 能够了解漏洞或许可问题的影响,即哪些制品会受漏洞影响。 这样,您就可以有效地为整个组织规划问题缓解措施。

治理执行安全与合规政策

针对识别的漏洞和许可证采取行动,以确保您的系统受到保护并符合法律要求。

策略检测

定义策略,以识别使用了易受攻击或不符合组织法律准则组件的情况。 可以根据使用组件的环境设置不同的缓解措施。

策略通知

检测到违规行为后,会以不同方式通知用户,包括: 发送电子邮件或 IM 消息(例如 Slack),创建 Jira 工单,或使用基于 Webhook 方法的其他系统。

策略强制执行

除了识别违规情况和发送通知之外,系统还支持设置后续的强制执行。 这包括阻止下载易受攻击的二进制文件,禁止 构建和阻止分发发布包。

软件流水线自动化和集成从开发到生产

从编码到部署,在软件开发生命周期的任意阶段都可以嵌入安全与合规性解决方案,并尽可能地采用自动化,以此推动“左移”。

CI/CD 集成

  • 与领先的 CI 服务器(包括 JFrog Pipelines、Jenkins、CircleCI 和 TeamCity)进行原生集成。
  • 自动对软件供应链中的构建进行扫描,并在出现安全漏洞或违反许可证策略时批准或禁用这些构建。

IDE 集成

  • 与行业领先的 IDE(包括 IntelliJ IDEA、Eclipse、Visual Studio 和 Visual Studio Code)进行集成。
  • 在开发阶段尽早为您提供关键洞察力,从而降低易受攻击的组件投入生产的可能性。
  • 针对发现的问题提出的补救措施。

强大的 Rest API

  • 具备领先 DevOps 工具的开箱即用式自动化技术。
  • 通过丰富的 REST API 轻松与任何其他工具或系统集成。
  • 减少软件开发流水线中的手动流程。

快速发布 谁与争锋

售前咨询

联系电话

010-82023518

免费试用

预约演示