...
- 식별 가능한 Rule 이름 설정
- 적용할 Rule 유형 선택
- 알림을 받을 취약점의 최소 수준 선택
- 알림 또는 action 선택
Policy의 규칙 (Rules) 유형
- 보안 규칙
- CVE : CVE 기준 규칙
- Minimal Severity
- CVSS Score
- CVE IDs
- Malicious Packages : 감지된 악성 패키지에 대한 위반 사항 생성
- Exposures : 감지된 비밀, 애플리케이션, 서비스 및 IaC 구성 오류에 대해 검사
- Package Version : 특정 패키지 (사용자 지정할 수 있음) 에 대한 위반 생성
- CVE : CVE 기준 규칙
- 라이선스 규칙
- Allowed Licenses : 구성 요소에 첨부될 수 있는 OSS 라이선스의 허용 목록을 지정
- Banned Licenses : 구성 요소에 첨부될 수 없는 OSS 라이선스의 차단 목록을 지정
- Multiple license permissive approach : 여러 라이선스가 감지된 경우 적어도 하나의 라이선스가 유효한 경우 위반을 생성하지 않음
정책 위반 시의 작업 (Action)
정책 위반에 대한 자동 실행 작업을 정의할 수 있습니다.
각 정책 규칙 내에서 하나 이상의 작업을 정의할 수 있습니다.
- Generate Violation (Minor, Major, Critical) : 기준을 충족할 경우 생성되는 정책 위반의 심각도
- Notify Email : 정책 위반 이벤트가 트리거될 때 Xray가 위반에 대한 이메일 전송 (수신자 이메일 지정 가능하며, Xray에 구성된 메일 서버 필요)
- Notify Watch's Recipients : Watch의 수신자 모두에게 위반 사항에 대한 이메일 전송
- Notify Deployer : 위반 사항에 대해 구성 요소를 배포한 사용자에게 이메일 전송
- Create Jira Ticket : Jira 티켓 생성이 가능
- Trigger Webhook : 위반이 발생할 때 호출되어야 하는 Xray에 구성된 웹훅을 지정
- Block Download : 해당 위반이 발생한 아티팩트의 다운로드 차단 (두 개의 옵션 중 선택)
- Block Download : 아티팩트 필터 및 심각도 필터 사양을 충족하는 아티팩트의 다운로드를 차단
- Block Unscanned : Artifact Filter 사양을 충족하지만 아직 스캔되지 않았거나 데이터 보존 정책으로 인해 Xray 데이터가 제거된 아티팩트의 다운로드를 차단
- Block Release Bundle distribution : 정책 기준 규칙을 충족하는 경우 릴리스 번들의 다운로드를 차단하도록 지정
...
- Fail Build : CI 서버가 빌드 검사를 요청하고 위반이 발생하면 Xray가 빌드 작업이 실패해야 한다는 표시로 응답하도록 지정 (Watch의 대상 유형에 빌드로 정의된 경우에만 사용 가능)
정책을 Watch에 할당하기
- 관리자 메뉴 → Xray - Watches & Policies → Watches 탭 → Rule 선택 및 편집
...
- https://jfrog.com/help/r/jfrog-security-documentation/creating-xray-policies-and-rules
- https://jfrog.com/help/r/jfrog-security-documentation/create-an-xray-policy
- https://jfrog.com/help/r/jfrog-security-documentation/trigger-violations-using-xray-policy-rules
- https://jfrog.com/help/r/jfrog-security-documentation/policy-violation-automatic-actions