问题描述
我在 Bitbucket 存储库中有很多带有源代码和二进制代码的应用程序。 Jenkins 是我本地安装的 CI/CD 平台。在大多数情况下,Jenkins 作业只是从 Bitbucket 存储库中提取二进制文件并部署到目标主机 (Windows)。我们的开发人员通常在本地执行构建并将源文件和二进制文件 (.Net) 推送到存储库。一些项目是 npm 或 ant/maven 构建。我的 CISO 想将使用 JFrog Xray 的漏洞扫描集成到 CI 流程中。因此,我有几个问题。
- JFrog/Xray 是否会在不切换到 Artifactory 进行版本控制的情况下将扫描作为构建步骤执行?
- 我需要哪个版本的 JFrog/Xray?免费版能用吗?
- 我需要在本地安装 JFrog/Xray,还是可以使用托管版本?
- 是否有适用于我的用例的文档?我查看了 JFrog 的文档,但大部分都与使用 Artifactory 相关。
- 有没有比 JFrog/Xray 更好的替代品?
解决方法
- 不,没有 Artifactory 的 X 射线永远无法工作
- Artifactory 确实有适用于 Maven 项目的 OSS 版本,该版本是免费的,将在本地部署,但没有 Xray 本地部署,不过您可以参考此 link 使用 Artifactory 和 Xray 创建一个免费的 JFrog 平台。
- 对于需要本地环境许可的本地版本,对于云,您可以使用可用的免费版本。
- 正如您提到的文档,Xray 需要 Artifactory 才能工作。