이 문서는 JFrog 플랫폼에서 Xray를 통해 수행된 보안 스캔 결과 목록을 확인하는 방법에 대한 가이드를 공유하기 위해 작성되었다.
| 도구명 | JFrog Artifactory |
|---|---|
| 문서 작성 기준 버전 | 7.84.14 |
| 지원 Edition | PRO X ENTERPRISE X ENTERPRISE + |
목차
Scan List
Scans List 페이지에서는 저장소, 빌드, 릴리스 번들, 패키지의 스캔 결과 정보를 한 화면에서 모아 볼 수 있습니다.
1. 스캔 대상 리소스를 선택합니다.
2. Add/Rmove to Xray 버튼을 통해 스캔 대상 항목을 추가/제거 할 수 있습니다.
3. 선택한 항목의 스캔 목록을 확인할 수 있습니다.
이를 통해 상태 및 스캔 정보를 빠르게 파악할 수 있습니다. (저장소 유형, 스캔된 항목 수, 최신 업데이트된 항목 등)
Repositories
Repositories 탭에서 저장소 옆에 있는 작업메뉴를 클릭하여 스캔 설정 및 스캐닝을 할 수 있습니다.
1. Advanced Scan
고급 스캔 창에서 선택한 저장소에 포함된 어떤 아티팩트를 스캔할지 지정 후 스캔을 진행합니다.
- Deployed in : 특정 시간 범위 내에 Artifactory에 배포된 아티팩트 범위 정의합니다.
- Downloaded in : 특정 기간 내에 Artifactory에서 다운로드된 아티팩트 범위를 정의합니다.
- Any time : 저장소 내에 존재하는 모든 아티팩트
- Pattern : 저장소 내의 경로를 정의합니다.
- Categories : 문제를 스캔할 JAS 카테고리를 정의합니다.
2. Scans Configuration
스캔 구성 창에서 스캔 구성을 세밀하게 조정할 수 있습니다.
- Advanced Security : Xray에서 수행할 보안 분석 항목을 선택합니다.
- Scan all artifacts : 선택한 저장소에 업로드되는 아티팩트들에 구성이 적용됩니다.
- Retention : 스캔 결과 유지 기간
- Scan by pattern : 특정 패턴을 사용하여 스캔 대상을 선택합니다.
특정 저장소 선택 시 해당 저장소에 저장되어 있는 아티팩트들의 스캔 결과를 확인할 수 있습니다.
1. Artifacts 스캔 목록
- 저장소에 있는 아티팩트들의 스캔 목록을 확인 할 수 있습니다.
- 우측 작업메뉴를 클릭하면 선택한 아티팩트의 스캔 결과에 대한 상세 페이지로 이동합니다.
2. Advanced Scan
- 고급 스캔 창에서 선택한 저장소에 포함된 어떤 아티팩트를 스캔할지 지정 후 스캔을 진행합니다.
3. Filter
- 필터를 사용하여 생성된 날짜를 기준으로 스캔 목록을 구성할 수 있습니다.
선택한 아티팩트에 대해 개별적으로 스캔 작업을 수행하거나 관리할 수 있습니다.
- Scans for Contextual Analysis
- 선택한 아티팩트에 대한 상황 분석 스캐닝을 시작합니다.
- Scan for Exposures
- 민감한 정보가 코드나 설정 파일에 노출되었는지 검사하는 스캔을 실행합니다.
- Cancel Exposures Scan
- 진행 중인 Scan for Exposures를 취소합니다.
- Scan For Violations
- 정책 위반 사항을 검사하는 스캔을 실행합니다.
- Assign Custom Issue
- 특정 아티팩트에 대한 사용자 정의 보안 문제를 할당하거나 관리합니다.
- Assign Custom License
- 특정 아티팩트에 사용자 정의 라이선스를 할당하거나 관리합니다.
- Show Scan Status Details
현재 스캔 작업의 상태와 관련된 세부 정보를 표시합니다. - Export Data
- 스캔 결과나 관련 데이터를 내보내는 기능을 제공합니다.
Builds
빌드 프로세스 중 생성된 아티팩트를 스캔하고 분석한 결과를 확인할 수 있습니다.
- Build Name : 빌드의 이름
- Build Repository : 빌드 아티팩트가 저장된 아티팩트 저장소 이름
- No. of Versions : 빌드의 버전 수
- Latest Version : 가장 최신의 빌드 버전 번호
- Last Build Time : 마지막으로 빌드가 실행된 시간
- Created On : 빌드 항목이 처음 생성된 날짜와 시간
- Created By : 빌드를 생성한 사용자
- Configurations : 빌드의 보안 분석 및 검토에 사용된 설정과 기능상태
특정 빌드의 스캔 결과에 대한 세부 정보를 확인할 수 있습니다.
Packages
Packages의 스캔 목록은 다음과 같이 구성됩니다.
1. 패키지들의 스캔 목록을 확인할 수 있습니다.
2. 필터를 통해 화면에 표시할 패키지 목록을 구성할 수 있습니다.
- Package Type
- No. of Versions
특정 패키지 선택시 해당 패키지의 스캔 결과를 버전별로 확인 할 수 있습니다.
- 목록에서 특정 버전의 패키지 선택시 스캔된 위반사항에 대한 세부 페이지로 이동합니다.
- 필터를 통해 수정된 날짜로 목록을 구성할 수 있습니다.
Watch Violations
Watch 목록을 확인하고 특정 Watch를 통해 감지된 보안 및 라이선스 위반 사항들을 모니터링하고 관리할 수 있습니다.
각 워치가 어떤 리소스를 모니터링하고 있으며, 어떤 정책이 적용되었는지, 그리고 감지된 위반 사항이 얼마나 되는지 한눈에 확인할 수 있습니다.
관리자 설정 > Xray > Watches & Policies 메뉴에서 스캔할 대상(저장소, 빌드, 릴리스 번들) 및 정책을 지정할 수 있습니다.
- Apply on Existing Content (관리자 권한 필요)
설정한 watch와 policy가 이미 존재하는 아티팩트나 리소스에도 즉시 적용됩니다. - Delete Watch (관리자 권한 필요)
선택한 watch를 삭제합니다.
특정 Watch를 클릭하여 해당 Watch에 대한 모든 위반 사항을 검토할 수 있습니다.
1. Violations
- 선택한 watch에 의해 발생한 위반 사항 목록을 확인할 수 있습니다.
- 목록에서 위반 사항을 클릭하면 세부 정보 팝업이 표시됩니다.
2. Filter
- 검색 메커니즘을 사용하여 텍스트, 생성 날짜, 유형, 심각도 및 CVE ID 등에 따라 watch 위반 사항을 필터링할 수 있습니다.