如何解决JFrog X 射线扫描 - 报告与 Visual Studio 2019 扩展不同
我最近开始使用 JFrog Xray 进行 exe、msi 和 zip 扫描。
我正在使用 GitHub repository 和管道 GitHub Actions
我的项目在 C# 上,因此首先我尝试让 JFrog extension for VS2019 正确扫描所有使用的 DLLs 并提供漏洞。
但是当我尝试通过 WebApp 执行它时 - 使用 watches 和 reports,它无法找到存储在“JFrog Artifactory”中的 EXE/ZIP 中的漏洞。 这可能是什么原因?
另外,如果 JFrog Xray 扫描发现问题,有没有什么办法可以让 GitHub Action 管道失败?
P.S.:我已确保 WebApp 中的监视和策略得到正确应用,并在正确的目标工件上执行。
更新
基于 suggested answer,我尝试了以下方法在 artifactory 上执行 build-scan。
先决条件详情:
JFrog 分发网址:https://orgname.jfrog.io/orgartifactoryname
Jfrog 到 artifactory 的路径:JFrogdistributionURL/ProjectName/Folder
执行的命令
jfrog rt c rt-server-1 --user=$username --url=$JFrogdistributionURL --apikey=$apikey
jfrog rt bs "my build name" 18
输出:
[信息] 触发 X 射线构建扫描...扫描可能需要几分钟。
[信息] 连接错误:服务器响应:401 未经授权,正在重新连接...
我也尝试在 --password 上使用 --apikey 设置服务器,但遇到了同样的问题。
解决方法
JFrog VS 扩展程序和 JFrog Xray 使用 2 种不同的方法扫描您的项目。
JFrog VS 扩展从文件系统中的依赖项构建一个传递依赖树。最终,依赖树包含构建程序所需的所有包。每个依赖项都发送到 Xray 进行扫描。
另一方面,通过 JFrog Xray 扫描构建的工作方式略有不同。 X 射线扫描输入是构建工件。使用对 NuGet 层的深度递归扫描,它构建了包工件和依赖项的完整图片。
另外,如果 JFrog Xray 扫描发现问题,是否有任何可能的方法可以使 GitHub Action 管道失败?
是的。我假设您通过 setup-jfrog-cli GitHub Action:
使用 JFrog CLI这实际上是 jfrog rt build-scan 命令的默认行为。
在此处阅读有关构建扫描的更多信息: https://www.jfrog.com/confluence/display/CLI/CLI+for+JFrog+Artifactory#CLIforJFrogArtifactory-ScanningaPublishedBuild
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
