이 문서는 JFrog 플랫폼에서 Xray를 통해 수행된 보안 스캔 결과 목록을 확인하는 방법에 대한 가이드를 공유하기 위해 작성되었다.

목차

Scan List

Scans List 페이지에서는 저장소, 빌드, 릴리스 번들, 패키지의 스캔 결과 정보를 한 화면에서 모아 볼 수 있습니다.

1. 스캔 대상 리소스를 선택합니다.

2. Add/Rmove to Xray 버튼을 통해 스캔 대상 항목을 추가/제거 할 수 있습니다.

3. 선택한 항목의 스캔 목록을 확인할 수 있습니다.
이를 통해 상태 및 스캔 정보를 빠르게 파악할 수 있습니다. (저장소 유형, 스캔된 항목 수, 최신 업데이트된 항목 등)

Repositories

Repositories 탭에서 저장소 옆에 있는 작업메뉴를 클릭하여 스캔 설정 및 스캐닝을 할 수 있습니다.

1. Advanced Scan
고급 스캔 창에서 선택한 저장소에 포함된 어떤 아티팩트를 스캔할지 지정 후 스캔을 진행합니다.

• Deployed in : 특정 시간 범위 내에 Artifactory에 배포된 아티팩트 범위 정의합니다.
• Downloaded in : 특정 기간 내에 Artifactory에서 다운로드된 아티팩트 범위를 정의합니다.
• Any time : 저장소 내에 존재하는 모든 아티팩트
• Pattern : 저장소 내의 경로를 정의합니다.
• Categories : 문제를 스캔할 JAS 카테고리를 정의합니다.

2. Scans Configuration

스캔 구성 창에서 스캔 구성을 세밀하게 조정할 수 있습니다.

• Advanced Security : Xray에서 수행할 보안 분석 항목을 선택합니다.
• Scan all artifacts : 선택한 저장소에 업로드되는 아티팩트들에 구성이 적용됩니다.
• Retention : 스캔 결과 유지 기간
• Scan by pattern : 특정 패턴을 사용하여 스캔 대상을 선택합니다.

특정 저장소 선택 시 해당 저장소에 저장되어 있는 아티팩트들의 스캔 결과를 확인할 수 있습니다.

1. Artifacts 스캔 목록

• 저장소에 있는 아티팩트들의 스캔 목록을 확인 할 수 있습니다.
• 우측 작업메뉴를 클릭하면 선택한 아티팩트의 스캔 결과에 대한 상세 페이지로 이동합니다.

2. Advanced Scan

• 고급 스캔 창에서 선택한 저장소에 포함된 어떤 아티팩트를 스캔할지 지정 후 스캔을 진행합니다.

3. Filter

• 필터를 사용하여 생성된 날짜를 기준으로 스캔 목록을 구성할 수 있습니다.

선택한 아티팩트에 대해 개별적으로 스캔 작업을 수행하거나 관리할 수 있습니다.

• Scans for Contextual Analysis
  • 선택한 아티팩트에 대한 상황 분석 스캐닝을 시작합니다.
• Scan for Exposures
  • 민감한 정보가 코드나 설정 파일에 노출되었는지 검사하는 스캔을 실행합니다.
• Cancel Exposures Scan
  • 진행 중인 Scan for Exposures를 취소합니다.
• Scan For Violations
  • 정책 위반 사항을 검사하는 스캔을 실행합니다.
• Assign Custom Issue
  • 특정 아티팩트에 대한 사용자 정의 보안 문제를 할당하거나 관리합니다.
• Assign Custom License
  • 특정 아티팩트에 사용자 정의 라이선스를 할당하거나 관리합니다.
• Show Scan Status Details
  현재 스캔 작업의 상태와 관련된 세부 정보를 표시합니다.
• Export Data
  • 스캔 결과나 관련 데이터를 내보내는 기능을 제공합니다.

Builds

빌드 프로세스 중 생성된 아티팩트를 스캔하고 분석한 결과를 확인할 수 있습니다.

• Build Name : 빌드의 이름
• Build Repository : 빌드 아티팩트가 저장된 아티팩트 저장소 이름
• No. of Versions : 빌드의 버전 수
• Latest Version : 가장 최신의 빌드 버전 번호
• Last Build Time : 마지막으로 빌드가 실행된 시간
• Created On : 빌드 항목이 처음 생성된 날짜와 시간
• Created By : 빌드를 생성한 사용자
• Configurations : 빌드의 보안 분석 및 검토에 사용된 설정과 기능상태

특정 빌드의 스캔 결과에 대한 세부 정보를 확인할 수 있습니다.

Packages

Packages의 스캔 목록은 다음과 같이 구성됩니다.

1. 패키지들의 스캔 목록을 확인할 수 있습니다.

2. 필터를 통해 화면에 표시할 패키지 목록을 구성할 수 있습니다.

• Package Type
• No. of Versions

특정 패키지 선택시 해당 패키지의 스캔 결과를 버전별로 확인 할 수 있습니다.

• 목록에서 특정 버전의 패키지 선택시 스캔된 위반사항에 대한 세부 페이지로 이동합니다.
• 필터를 통해 수정된 날짜로 목록을 구성할 수 있습니다.

Watch Violations

Watch 목록을 확인하고 특정 Watch를 통해 감지된 보안 및 라이선스 위반 사항들을 모니터링하고 관리할 수 있습니다.

각 워치가 어떤 리소스를 모니터링하고 있으며, 어떤 정책이 적용되었는지, 그리고 감지된 위반 사항이 얼마나 되는지 한눈에 확인할 수 있습니다.

• Apply on Existing Content (관리자 권한 필요)
  설정한 watch와 policy가 이미 존재하는 아티팩트나 리소스에도 즉시 적용됩니다.
• Delete Watch (관리자 권한 필요)
  선택한 watch를 삭제합니다.

특정 Watch를 클릭하여 해당 Watch에 대한 모든 위반 사항을 검토할 수 있습니다.

1. Violations

• 선택한 watch에 의해 발생한 위반 사항 목록을 확인할 수 있습니다.
• 목록에서 위반 사항을 클릭하면 세부 정보 팝업이 표시됩니다.

2. Filter

• 검색 메커니즘을 사용하여 텍스트, 생성 날짜, 유형, 심각도 및 CVE ID 등에 따라 watch 위반 사항을 필터링할 수 있습니다.

참조

• https://jfrog.com/help/r/jfrog-security-user-guide/products/xray/features-and-capabilities/sca/understanding-and-analyzing-xray-scan-results