이 문서는 JFrog 플랫폼에서 Xray를 통해 바이너리 임시 검사 방법에 대한 가이드를 공유하기 위해 작성되었다.
도구명 | JFrog Artifactory |
|---|---|
| 문서 작성 기준 버전 | 7.84.14 |
| 지원 Edition | PRO X ENTERPRISE X ENTERPRISE + |
목차
개요
On-Demand Scanning은 JFrog CLI를 활용해 Artifactory에 업로드하지 않고도 로컬 바이너리에 대해 임시 보안 검사를 수행할 수 있는 기능입니다.
개발자는 로컬 파일 시스템에 있는 바이너리를 직접 지정하여 Artifactory에 업로드하거나 빌드하기 전에 취약점, 라이선스, 정책 위반 여부를 확인할 수 있습니다.
스캔 결과는 터미널에 출력되며, JFrog 플랫폼의 On-Demand Scanning 탭에서도 확인할 수 있습니다.
로컬 파일 시스템에서 파일 스캔
로컬 파일 시스템 내 바이너리를 Artifactory에 업로드하지 않고도 JFrog Xray를 통해 보안 스캔을 수행할 수 있습니다.
명령어 형식
jf scan <패턴> <옵션>
명령어 예시) 특정 Watch로 로컬 파일 스캔
jf s “path/to/file” --watched “watch-name”
Commands Parameters
| 매개변수 | Optional/Default | 설명 |
|---|---|---|
| --server-id | Optional | 사용할 서버 ID (기본값은 현재 설정된 서버) |
| --spec | Optional | 스캔할 파일 목록을 정의한 JSON 파일 경로 ※ pattern 인자와 동시에 사용할 수 없음 |
| --project | Optional | 사용할 JFrog 프로젝트 키--repo-path, --watches와 동시에 사용할 수 없음 |
| --repo-path | Optional | Artifactory 저장소 경로 기반 정책 사용--project, --watches와 동시 사용 불가 |
| --watches | Optional | Xray에 정의된 Watch 목록 (쉼표로 구분) |
| --licenses | Default: false | 라이선스 정보 출력 (기본값: false) |
| --format=json | Optional | 결과를 JSON 형식으로 출력 |
| --vuln | Optional | 정책과 상관없이 모든 취약점을 출력 |
Arguments
| 인자 | 설명 |
|---|---|
| Pattern |
|
로컬 파일 시스템에서 Docker 이미지 스캔
로컬에 있는 Docker 이미지를 Artifactory에 업로드하지 않고도 JFrog Xray로 보안 및 라이선스 스캔을 수행할 수 있습니다.
명령어 형식
jf docker scan <이미지명[:태그]> [옵션]
명령어 예시) 이미지 취약점 스캔
jf docker scan reg1/repo1/img1:1.0.0
Commands Parameters
| 매개변수 | 설명 | |
|---|---|---|
| --server-id | Optional | 사용할 서버 ID (기본값은 현재 설정된 서버) |
| --project | Optional | 보안 위반 감지를 위한 JFrog 프로젝트 키 |
| --repo-path | Optional | Artifactory 저장소 경로 기반 정책 적용 |
| --watches | Optional | 쉼표로 구분된 Xray Watch 목록 |
| --licenses | Default: false | 라이선스 정보 출력 (기본값: false) |
| --validate-secrets | Default: false | 노출된 시크릿 검증 활성화 (기본값: false) |
| --format=json | Optional | 결과를 JSON 형식으로 출력 |
| --vuln | Optional | 정책과 관계없이 모든 취약점 출력 |
Arguments
| 인자 | 설명 |
|---|---|
| Pattern |
|
로컬 파일 시스템에서 이미지 Tarball 스캔
로컬 파일 시스템에 저장된 Docker/OCI 이미지 tarball에 대해 JFrog Xray를 이용한 보안 및 라이선스 스캔을 수행할 수 있습니다.
이미지를 저장한 후 .tar 파일을 Xray에서 직접 분석할 수 있도록 사용합니다.
이미지 저장 및 스캔
docker save --output my-image-docker.tar my-image:1.0.0 jf s my-image-docker.tar
스캔 결과 확인하기
JFrog Platform 화면에서 임시 스캔 목록을 확인할 수 있습니다.
- 스캔 결과를 CSV, JSON, PDF 형식으로 export 할 수 있습니다.
- 파일을 선택하면 스캔 결과에 대한 세부 페이지로 이동합니다.
주의: On-Demand Scanning 결과는 7일간 보관된 후 자동 삭제됩니다.