JFrog Xray - 不仅仅是另一个安全漏洞扫描程序。
我们刚刚正式推出了JFrog Xray,客户已经问过为什么我们认为应该使用JFrog Xray而不是$ YOUR_FAVORITE_SECURITY_SCANNING_TOOL。 Xray喜欢黑鸭吗? 也许它就像Docker Security Scanning? 也许它类似于Sonatype Nexus组件智能?
在进入差异列表之前,有一个巨大的概念转变。 Xray不仅仅是另一个带有普通扫描器的安全数据库。它是通用二元影响分析产品。递归分析的能力使Xray成为独一无二的,并且它是开放且通用的,可以连接到您的安全和许可证数据库或任何其他元数据。不确定我的意思?继续阅读,这篇文章的结尾都有意义。
现在,在我们成功确定Xray与传统安全漏洞扫描程序(如Sonatype Nexus组件智能或Docker Security Scanner)不同的类别之后,让我们将苹果与橙子进行比较,以更好地理解为什么Xray会大大改变您对二进制影响的思考方式分析:
1.这不仅仅是安全漏洞。影响分析应该是普遍的。
确实恐慌是卖(问一些政治家),但正如Roy Schestowitz博士所说,我们不卖FUD。您希望了解许多不同的度量标准,并提醒您有关组件的许可 - 许可证合规性,运行时性能问题,错误,体系结构决策,过时的组件,甚至还有完全特殊的规则要应用,例如检测组件你的竞争对手的IP。是的,安全漏洞也是如此。
Xray使用内部元数据源与其连接的外部元数据源相结合,为您提供真正的通用影响分析。
2.那容器怎么样?!并非所有的软件都是Java(或NuGet或npm)。影响分析应该是普遍的。
Java主导软件世界(或多或少),但今天,很难找到只做Java的组织。 Polyglot编程是新的“正常”,然后有DevOps将其他类型的软件带到开发人员的板块 - Docker,RPM,YUM,Vagrant。一个只能扫描Java组件的工具是...... 2005年?
目前,Xray能够扫描Java JAR和WAR,Nuget包,Python egg,npm包,RPM和Debian包,当然还有Docker镜像。很快,Xray将支持世界上最全面的工件库中支持的所有包类型 - JFrog Artifactory。
3.一个数据库无法全部了解,但影响分析应具有普遍性。
世界上没有数据库可以包含全面影响分析所需的所有元数据 - 所有不同类型组件的所有安全漏洞,所有许可证,所有版本,当然世界上没有数据库可以包含您的专有决策制作元数据。此外,有不同的影响分析方法可能适合其他组织,但不适合您的(例如,您是否可以将依赖关系的指纹发送到云?)。
Xray为您提供了选择的自由 - 您可以使用Xray的内部安全漏洞,许可证和组件版本数据库来实现零配置体验。由于我们设计Xray是通用的,我们的合作伙伴已经构建了集成,因此您可以连接任意数量的外部工具,如Black Duck,WhiteSource和Aqua(如果它们更适合您的需求,请继续关注更多)。 JFrog还将继续添加更多元数据提供程序以与Xray集成。但是自定义元数据怎么样?通过一个开放的REST API,Xray为您提供了一种将任何决策机制挂钩到Xray的简单方法,并了解它如何影响您的应用程序。
4.组件不是扁平的。影响分析应该是普遍的。
因此,例如,Nexus Component Intelligence能够扫描Java组件。或者,让我们来看看Docker Security Scanner。它只能扫描Docker镜像。但是,在Docker镜像,RPMor Debian软件包或gzip压缩文件中,Java组件呢?不。在Nexus Component Intelligence的世界中,组件只能以独立的扁平结构存在。
现实世界是不同的。组件像俄罗斯娃娃一样包含在内; WAR中的JAR,Debian软件包内,Docker镜像内,Vagrant框内的JAR。 Xray作为一个通用工具,知道如何打开这些包,发现内部的内容,并递归地索引这些组件。
5.您需要在全公司范围内进行影响分析,这应该是普遍的。
想象一下,如果Xray在组织内某个项目的一个生产环境中的Docker容器内运行的其中一个Nuget包中发现了运行时错误(现在你知道它可以)。如果你的其他项目的同事也知道受这个bug影响的所有组件,那不是很梦幻吗?
您可以使用Nexus组件智能或类似工具无法完成Xray的其他工作 - 全公司范围的影响分析。一旦Xray连接到公司内不同项目和组织中运行的所有Artifactory实例,它就构建了一个真正的通用组件图,并且可以对公司内可能受所讨论的单个组件影响的所有组件运行影响分析。
好吧,我相信你现在已经有了这个想法。你需要你的影响分析是普遍的,你只能用JFrog Xray来实现。
为了完善整个故事,JFrog Artifactory 4.11与JFrog Xray共同发布,这两款产品紧密相互补充。 Artifactory,唯一真正的通用工件存储库,提供所有二进制工件及其随附的元数据,JFrog Xray是唯一可以连接到任意数量的外部源并真正提供通用影响分析的产品,为您提供完整的图片所有问题和漏洞都会影响整个组织中任何格式的二进制工件。
原文:https://jfrog.com/blog/it-is-time-to-trust-your-software/
本文:http://pub.intelligentx.net/it-time-trust-your-software
讨论:请加入知识星球【首席架构师圈】