Xray工具介绍 Xray可以根据包的情况来检测到依赖的项目。当出现上述问题的时候,可以针对某一个包来反向排查,实现依赖项目的精准定位,从而准确通知到使用者。...Xray使用的经验分享 使用了Xray虽然可能帮我们节省很多工作,但是工具还是要配合良好的管理手段以及正确的使用方法。不然也会带来一些问题。...Xray精准规则配置方法 那么利用Xray精准的配置屏蔽规则配置呢? 1. 首先,定义一条规则(Policies),比如高危漏洞不许下载。...创建一个Policies 在Xray首页Policies菜单页面中进行新建如下图: (注:policies在Xray中起到设定规则的作用) 1.png 填写名字,选择类型Security,增加规则,...10.png 11.png 欢迎观看JFrog杰蛙每周二在线课堂,点击报名: https://www.bagevent.com/event/6643470
JFrog持续努力,不断开发和创新,以为我们的客户提供更好的端到端DevSecOps体验。本文详细介绍了近期我们在JFrog Xray中添加的新功能,以帮助客户保持其准时发布的效率、质量,和安全性。...二、支持Conan包及C/C++的漏洞扫描 JFrog Xray最新支持扫描部署到JFrog Artifactory的Conan软件包以及C/C++应用构建。...除了Xray的漏洞扫描程序认证外,JFrog平台还通过了以下认证: · 红帽认证的OpenShift操作员(用于JFrog Artifactory和JFrog Xray)可增强客户的安装和自动化; ·...五、丰富的自定义报表 JFrog Xray的自定义报表使您可以轻松地对开源软件包、内部版本和交付制品的Xray扫描进行分类并采取措施。...请持续关注JFrog Xray和JFrog Platform针对DevSecOps增强功能有关的重要公告!
创建 Artifactory home 文件夹和一个空的 system.yaml 文件JFROG_HOME=/opt/jfrogmkdir -p $JFROG_HOME/artifactory/var/...all JFrog products.## Replace JFROG_HOME with the real path!...For example, in RPM install, JFROG_HOME=/opt/jfrog## NOTE: Sensitive information such as passwords and...-d -p 8081:8081 -p 8082:8082 releases-docker.jfrog.io/jfrog/artifactory-oss:latest图片3....官方文档https://www.jfrog.com/confluence/display/JFROG2 写给那些想使用 JFrog Artifactory 管理制品的人https://cloud.tencent.com
JFrog 通过使用Elasticsearch和Kibana套件,以及Prometheus 和Grafana套件来监控Artifactory 制品库以及Xray 漏洞扫描工具的运行情况,下面我们一起了解...使用与节点中运行的JFrog应用程序匹配的模板: Artifactory 7.x Xray 3.x Artifactory 6.x 以Artifactory 为例子,添加采集日志配置如下: 11111....您必须有运行Artifactory和Xray的所有Kubernetes Pod重复执行此过程,当然也可以添加Side Car 容器到Artifactory和Xray 组件中。...在我们的案例中,我们将Artifactory和Xray日志事件转换为Prometheus的指标。我们已经在这里设置了Artifactory和Xray FluentD配置示例。...⭐fluent.conf.rt – Artifactory版本7 ⭐fluent.conf.rt6 – Artifactory版本6 ⭐fluent.conf.xray – Xray 88888.png
所以很多包在我们安全策略发现之前可能已经进入到了生产环境 解决方案 在介绍如何对运行时进行安全控制之前,先回顾一下常见漏洞扫描工具的原理:这里以JFrog Xray 为例: 通用二进制分析工具和策略引擎...JFrog Xray,会实时扫描Artifactory制品库中的容器镜像,war包,以及Npm module 等二进制制品,执行深度递归扫描,逐层检查应用程序的所有组件,并与多个漏洞数据源(已知漏洞数据库...为了解决这个问题,JFrog提供了KubeXray 组件,这是一个开源软件项目,它将通用二进制安全分析工具Xray的安全性扩展到Kubernetes pods运行时。...Helm服务端配置(Tiler) 快速安装KubeXray: JFrog Helm仓库中提供的一个Helm Chart,可以快速安装或升级JFrog KubeXray到正在运行的Kubernetes...更多技术分享请关注公众号:JFrog杰蛙DevOps 也可以添加官方微信号:JFrogjiewachina
xray下载地址:https://github.com/chaitin/xray/releases,下载后可直接运行 扫描方式: # web扫描 webscan, ws # 服务扫描 servicescan...将结果输出到文本 --text-output value # 将结果以json的格式post到url --webhook-output value, --wo value 快速使用: # 快速扫描单个url xray...webscan --url 127.0.0.1 --html-output output.html # 快速扫描某host的服务 xray servicescan --target 127.0.0.1
Xray 介绍 JFrog Xray 是一个通用的漏洞扫描平台,可以满足我们对第三方漏洞安全管理的所有需求,其主要有以下几个特性 支持多语言漏洞扫描 Java,Docker,Npm,Python,Ruby...JFrog Xray 会根据所有收集到的依赖拓扑,进行反向依赖性分析,逐层找到所有包含漏洞包的上层应用。...Xray 架构介绍 JFrog Xray 采用微服务架构设计,其中主要包含以下几个微服务, Server,主服务,UI Indexer,索引层,进行软件包索引 Persist,持久层,存储漏洞及扫描结果...Analysis,分析层,分析依赖拓扑及反向依赖,发现漏洞并告警 JFrog Xray同时支持高可用集群方式,针对企业级安全管理,提高漏洞扫描的效率及稳定性,并且与 JFrog Artifactory...12.png 扩展阅读 JFrog Xray试用地址:http://www.jfrogchina.com/artifactory/free-trial/
三、JFrog Xray,监测安全漏洞的利器 JFrog公司提供的Artifactory+Xray是一个很好的产品组合。...而针对安全漏洞,Xray会提供详细的漏洞信息,以及在应用中的准确定位来辅助我们对其进行分析和检查。 5.png 同时,针对查出来的安全漏洞,Xray还提供了针对其扩散范围的分析。...6.png 除了安全漏洞及其扩散范围的分析,Xray还提供自定义问题的能力。...7.png 四、Snyk, 不仅仅是监测漏洞 JFrog Xray是基于开源的NVD开源漏洞数据库来监测安全漏洞的,而Snyk(https://snyk.io)提供了额外的商业漏洞数据库。...利用JFrog Xray和Snyk等工具,能够帮助我们尽早地发现开源依赖引入的安全漏洞,分析漏洞的扩散范围,也可以给出修复建议,实现安全隐患的自动消除。
安装 Xray是一款功能强大的安全评估工具,支持常见Web漏洞的自动化监测,可以在Github免费下载。且Xray为单文件命令行工具,自带所有依赖,解压即可使用无需安装。...下载地址:https://github.com/chaitin/xray/releases 文档地址:https://xray.cool/xray/#/ 这里将解压出来的xray_windows_amd64...Burp作Xray上游 访问过程:浏览器 > Xray > Burp > 服务器 配置Xray上游代理,即修改配置文件中的扫描代理为Burp的监听端口 http: proxy: "http://127.0.0.1...:8080" # 漏洞扫描时使用的代理 在浏览器配置监听Xray代理端口,如127.0.0.1:6666 启用Xray $ xray webscan --listen 127.0.0.1:6666 --...Xray作Burp上游 访问过程:浏览器 > Burp > Xray > 服务器 经过Burp放行的包,才交由Xray进行扫描,否则直接在Burp处丢弃 在Burp中配置监听Xray代理端口,如127.0.0.1
1.png 一、新春送福 值此新春佳节将近之际,JFrog为广大DevOps团队奉上新春福利:我们宣布一项能够为我们的客户和整个DevOps社区带来实质性收益的重大举措,那就是,JFrog与Docker...该协议进一步推动了JFrog充满活力的合作伙伴生态系统。该生态系统建立在“广泛合作从而避免失败”的原则之上,而该原则是JFrog自成立以来的发展基石。...通过利用我们的漏洞扫描工具JFrog Xray,开发人员可以连续、全面地扫描从Docker Hub提取的镜像。...与JFrog Artifactory本地集成的JFrog Xray可以检测镜像、容器和其他软件制品中的安全漏洞和许可证合规性问题,从而使组织可以通过向开发人员提供工具来尽早并持续采取纠正措施,以实现DevOps...借助JFrog Artifactory和JFrog Xray,您可以在整个DevOps流水线(包括生产)中一目了然地查看软件制品的安全漏洞和开源许可证合规性的问题; · 全面的可见性和可控的视角。
作为以容器为基础的混合云平台,应用容器化后如何同步并保持公有云和私有云的镜像一致性方面,JFrog起了关键作用。...GCP上的Artifactory在构建过程通过软件交付管道进行管理时,可对构建的受信任存储库进行管理,并通过XRay扫描会验证没有已知的安全漏洞,并且所有许可证都符合企业的合规性策略。...成功验证构建后,CI服务器会将构建提升(复制或移动)到Artifactory中的下一阶段制品库 5 JFrog Xray - 扫描构建映像是否存在安全漏洞,以及组件是否符合组织的许可策略。...4当其已知漏洞的数据库更新时,Xray会扫描生成的图像。如果发现已经部署的映像具有新发现的漏洞,及时通知到相关人员进行升级或安全维护。...JFrog为Anthos混合云平台提供专业DevOps管理功能 - 支持多种编程语言和技术 - 支持多种包装管理系统。
将此镜像推送到Artifactory中的Docker注册表中,JFrog Xray也会对其进行扫描,以确保安全性和许可证合规性。...三、流水线特性解析 3.1 JFrog Artifactory和Xray确保软件交付的自动化 Artifactory是一个通用的制品仓库管理平台,无论组织中的微服务在哪里运行,它都可以满足所有CI/CD...JFrog Xray对Docker镜像执行深度递归扫描,并识别所有层和依赖项中的安全漏洞。它还会检查以确保所有软件组件的许可证均符合组织的策略。这有助于阻止易受攻击且不合规的软件投入生产。...而且,Xray提供的持续扫描能力,可以确保发现新问题或更改策略时的持续安全性。...4.png 五、总结 通过上述Platform9推荐的解决方案来看,基于JFrog的Artifactory和Xray,结合Helm Chart,能够方便、快捷、清晰地搭建适用于规模化Kubernetes
脚本编写 建议先过一遍参考文档:https://docs.xray.cool/#/guide/poc/v2 YAML 一种可读的序列化数据,类似JSON。...14849-fileread.yml # 基本信息 # POC名称,一般格式为 poc-yaml--- name: poc-yaml-test # 区分是否手工编写,Xray...还有一些指纹和漏洞信息,可以参考文档 完整POC # 基本信息 # POC名称,一般格式为 poc-yaml-[框架名]- name: poc-yaml-test # 区分是否手工编写,Xray...reverseURL}}" expression: | reverse.wait(5) 参考知识 CEL 文档 CEL语法 - 官方文档 expression编写 脚本调试 Xray...调试:先在config.yaml中配置proxy,可以通过Burp查看数据包 $ xray --log-level debug webscan --url http://example.com -p .
“我们很高兴 Vdoo 加入 JFrog 大家庭,”JFrog 的联合创始人兼首席执行官 Shlomi Ben Haim 说。...此举将通过我们的安全解决方案 JFrog Xray 扩大 JFrog 当前的成功,并创造期望,即‘无畏的发布’将成为安全和开发团队的体验。”...2021 年,JFrog 将扩展 JFrog Xray 漏洞检测,以包含 Vdoo 的海量数据和改进的多维度扫描,包括配置和适用性扫描。...JFrog 重申 Q2 和 2021 财年指南 JFrog 重申了 2021 年 5 月 6 日提供的财务指导。...关于JFrog JFrog 是 DevOps 平台的创建者,肩负着“Liquid Software”的使命,旨在实现从开发人员的按键到生产的无缝、安全的软件流程。
简介 ---- xray是一款可以使用HTTP/HTTPS代理进行被动扫描的安全工具,支持功能如下 独立的 URL 扫描 基于 HTTP 的被动代理扫描,同时支持HTTPS SQL注入检测模块 命令注入检测模块...任意重定向检测模块 路径遍历模块 Xray扫描器内置插件 XSS漏洞检测 (key: xss):利用语义分析的方式检测XSS漏洞 SQL 注入检测 (key: sqldet):支持报错注入、布尔注入和时间盲注等...key: crlf_injection) 检测 HTTP 头注入,支持 query、body 等位置的参: 使用 ---- github项目地址:https://github.com/chaitin/xray...或者加入系统变量也行 我们可以-h先查看一下用法 扫描单个url,并保存在文件中,如上保存文件的方式又text、json和html 我们打开文件,看到扫描出来注入 使用http代理 xray...html-output proxy.html 手动指定本次运行的插件 默认情况下,将会启用所有内置插件,可以使用下列命令指定本次扫描启用的插件 #cmd_injection,sqldet代表命令注入和SQL注入 xray
启动容器 docker run --name artifactory --restart always \ -v /data/jfrog/var/:/var -d \ -v /etc/localtime...:/etc/localtime \ -p 28081:8081 -p 28082:8082 \ releases-docker.jfrog.io/jfrog/artifactory-pro:7.11.5...cd /data/jfrog/var/ ls artifactory-injector-1.1.jar 破解 # 进去容器 docker exec -it -u root artifactory /...bin/bash cd /opt/jfrog/artifactory/app/third-party/java/bin/ # 破解 ....("back" for back) /opt/jfrog/artifactory/app/artifactory/tomcat artifactory detected. continue?
介绍 xray 是一款优秀的漏洞扫描工具,但目前只有命令行版本,通过 config.yaml 配置文件启动,很多情况下不好上手,需要一款 GUI 工具来帮助新人更快使用。...在 xray 的规划中,未来会有一款真正的完善的 GUI 版 XrayPro 工具,敬请期待。...使用前提: 本地有 JRE 环境 使用 java -jar SuperXray.jar 启动 前往 ctstack 下载正版 xray 快速上手 观看B站视频:https://www.bilibili.com.../video/BV1Ud4y147Er 启动: java -jar SuperXray.jar 加载 xray 二进制文件: 注意:在 Mac OS 中有安全限制,请先设置 系统偏好设置 -> 安全性与隐私...查看与搜索 例如搜索 spring 高级配置 部分插件可以进行高级配置: 完成每一项高级配置后请点击 确认配置 后生效 只有在主界面开启了对应的插件,高级配置才会生效 部分插件仅高级版 xray 支持
配置crawlergo_x_XRAY $ git clone https://github.com/timwhitez/crawlergo_x_XRAY.git $ cd crawlergo_x_XRAY.../xray/ $ wget https://github.com/chaitin/xray/releases/download/1.5.0/xray_linux_amd64.zip $ unzip xray_linux_amd64...目录,后台运行xray,将扫描结果输出到html,运行日志输出到logs cd xray/ nohup ..../logs.xray 2>&1 & echo "[+] Xray Run Success...".../xray/xray_linux_amd64 version $ .
JFrog选择了Helm,Kubernetes的官方包管理工具。...我们再来看Codefresh提供的另一组数据,如下图: 2.png 和上一组数据一样,只有5%的JFrog企业用户在生产环境使用了Kubernetes。但同时,也有5%的JFrog用户使用了Helm。...JFrog也将为客户提供这些Helm Chart,以帮助客户在Kubernetes环境快速部署JFrog的各种产品。 在实践Helm的过程中,JFrog也积累了一些经验和最佳实践。...而JFrog的Xray产品,集成Artifactory的统一制品仓库,能够实现安全漏洞的自动扫描及漏洞的影响范围分析。...JFrog的Artifactory和Xray等产品能够提供包含Helm仓库在内的统一制品仓库管理和安全漏洞扫描,在实现基于Helm的CI/CD流水线和自动化部署方案起到了重要的作用。
一睹人间盛世言 ---- 前言 xray是一种功能强大的扫描工具。xray 社区版是长亭科技推出的免费白帽子工具平台,由多名经验丰富的安全开发者和数万名社区贡献者共同打造而成。...下载地址 github:https://github.com/chaitin/xray/releases/tag/1.8.2 下载地址:工具下载 官方文档:xray官方文档下载 ---- 版本选择...xray webscan --plugins cmd-injection,sqldet --url http://example.com xray webscan --plugins cmd-injection...\xray_windows_amd64.exe genca 其他请阅读:xray文档 ---- 提示: 使用 Xray 代理模式 生成CA证书: ....\xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output proxy.html 这样你可以随意浏览网页,Xray会自动帮扫描结果整合到输出
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
