【安全运营】使用Artifactory和Xray阻止下载
没有人想生病,所以我们会在天气变冷的时候穿夹克,服用维生素C,避免在湿雪的雪地里外出。我们都做了不同的事情,以避免讨厌令人讨厌的病毒和细菌,因为我们知道生产力的损失和我们必须努力使我们的身体系统再次恢复良好的负担远远超过我们一直采取的这些预防措施。
检测安全漏洞,以便您的系统不会“感冒”
您的软件系统也是如此。如果具有已知问题或漏洞的工件进入您的生态系统,则需要花费您去除它。当然,既然您拥有JFrog Xray,您就可以检测到安全漏洞,性能问题甚至是您定义的自定义问题,但如果您只是在使用它们时才检测到这些问题,那么您将需要做一些工作。您的组件已经经历了X开发和QA循环,您可能已准备好发布到生产中,然后有人记得Xray在几周前暴露了其中一个依赖项中的安全漏洞。哎呀,停止开发,找到替代组件,重构代码,开发-QA-repeat-X-times,花费数周的时间让你的代码再次运行良好。如果你可以避免这种情况,那不是很好吗?好吧,现在你可以!
预防胜于治疗
到目前为止,这些东西都是手动处理的。将工件下载到远程存储库缓存时,会触发Xray运行扫描,如果检测到任何问题,则会通知DevSec工作人员。然后你必须决定是否发布工件以供下载,并手动管理。 JFrog Artifactory的最新版本允许您将DevSec带出循环。您现在可以自动阻止Xray检测到安全漏洞的工件下载。
有两个级别的保护。首先,您可以指定引入Artifactory的工件(无论它们是否已缓存在远程存储库中,还是上载到本地存储库),在Xray对其进行索引和扫描之前,无法下载这些工件。这类似于信用卡公司在授予您信用卡之前进行的背景调查。同样,在对它们运行背景检查(X射线扫描)之前,您不希望为工件提供任何信用。
第二级保护可以更好地控制应该阻止哪些工件(如果有的话)。 工件中发现的问题按严重性级别进行评级:次要,主要或严重。 并非每一个小问题都必须成为您的交易障碍。 这是你控制的东西。 当问题暴露时,您会收到通知,但在您有机会进一步调查问题之前,您可能不想立即停止开发。 相反,你很有可能想要阻止任何有关键问题的工件,而你的开发人员只需要寻找其他东西。 因此,如果Xray检测到问题,您可以指定要在哪个严重性级别阻止工件。
无论您选择使用哪种设置,只要设置它们,Xray就会被触发扫描整个存储库,因此任何未通过信用检查的组件都会立即被阻止。
为避免让开发人员误解他们为什么空手而归,Artifactory会在树形浏览器中显示有关被阻止工件的通知,并为REST API调用提供信息性错误消息,因为工件已被阻止而失败。
所以Xray和Artifactory一起是你的软件系统夹克,羊毛帽子或膳食补充剂。 他们是不知疲倦的哨兵,防止任何未经检查,可疑和可能有害的文物进入您珍贵的生产系统附近。 通过下载阻止,您的系统可以接种神器疾病,因此您可以信任它们以最佳状态执行并执行他们应该执行的操作。 这一切都是自动发生在背景中而不必抬起手指。
原文:https://jfrog.com/blog/blocking-downloads-with-artifactory-and-xray/
本文:
讨论:请加入知识星球【首席架构师圈】
- 48 次浏览