이 문서는 JFrog 플랫폼에서 Xray를 통해 바이너리 임시 검사 방법에 대한 가이드를 공유하기 위해 작성되었다.


도구명

JFrog Artifactory
문서 작성 기준 버전7.84.14
지원 Edition

   

목차


개요

On-Demand Scanning은 JFrog CLI를 활용해 Artifactory에 업로드하지 않고도 로컬 바이너리에 대해 임시 보안 검사를 수행할 수 있는 기능입니다.


로컬 파일 시스템에서 파일 스캔

로컬 파일 시스템 내 바이너리를 Artifactory에 업로드하지 않고도 JFrog Xray를 통해 보안 스캔을 수행할 수 있습니다.

명령어 형식

jf scan <패턴> <옵션>


명령어 예시) 특정 Watch로 로컬 파일 스캔

jf s “path/to/file” --watched “watch-name”

Commands Parameters

매개변수Optional/Default설명
--server-idOptional

사용할 서버 ID (기본값은 현재 설정된 서버)

--specOptional스캔할 파일 목록을 정의한 JSON 파일 경로
pattern 인자와 동시에 사용할 수 없음
--projectOptional사용할 JFrog 프로젝트 키
--repo-path, --watches와 동시에 사용할 수 없음
--repo-pathOptionalArtifactory 저장소 경로 기반 정책 사용
--project, --watches와 동시 사용 불가
--watchesOptionalXray에 정의된 Watch 목록 (쉼표로 구분)
--licensesDefault: false라이선스 정보 출력 (기본값: false)
--format=jsonOptional결과를 JSON 형식으로 출력
--vulnOptional정책과 상관없이 모든 취약점을 출력

Arguments

인자설명
Pattern

  • 로컬 파일 경로 지정. 와일드카드 사용 가능 (예: *.zip, path/**/*.jar 등)


로컬 파일 시스템에서 Docker 이미지 스캔

로컬에 있는 Docker 이미지를 Artifactory에 업로드하지 않고도 JFrog Xray로 보안 및 라이선스 스캔을 수행할 수 있습니다.

명령어 형식

jf docker scan <이미지명[:태그]> [옵션]


명령어 예시) 이미지 취약점 스캔

jf docker scan reg1/repo1/img1:1.0.0

Commands Parameters

매개변수
설명
--server-idOptional

사용할 서버 ID (기본값은 현재 설정된 서버)

--projectOptional보안 위반 감지를 위한 JFrog 프로젝트 키
--repo-pathOptionalArtifactory 저장소 경로 기반 정책 적용
--watchesOptional쉼표로 구분된 Xray Watch 목록
--licensesDefault: false라이선스 정보 출력 (기본값: false)
--validate-secretsDefault: false노출된 시크릿 검증 활성화 (기본값: false)
--format=jsonOptional결과를 JSON 형식으로 출력
--vulnOptional정책과 관계없이 모든 취약점 출력

Arguments

인자설명
Pattern

  • 스캔할 Docker 이미지 (예: reg1/repo1/img1:1.0.0)


로컬 파일 시스템에서 이미지 Tarball 스캔

로컬 파일 시스템에 저장된 Docker/OCI 이미지 tarball에 대해 JFrog Xray를 이용한 보안 및 라이선스 스캔을 수행할 수 있습니다.

이미지를 저장한 후 .tar 파일을 Xray에서 직접 분석할 수 있도록 사용합니다.

이미지 저장 및 스캔

docker save --output my-image-docker.tar my-image:1.0.0 
jf s my-image-docker.tar


스캔 결과 확인하기

JFrog Platform 화면에서 임시 스캔 목록을 확인할 수 있습니다.

주의: On-Demand Scanning 결과는 7일간 보관된 후 자동 삭제됩니다.


참조