Jfrog X 射线报告

Question

1.是否可以在Jfrog工件的disired页面使用API Calls生成X光报告？ 2.场景：应用程序开发团队将其应用程序的构建/存储库上传到 Jfrog 工件中，X 射线会自动对其进行扫描。 Suppose if we find vunerable Jars in perticular build -question-"can we corelate the vunerable jars to the respective builds and depedend builds and extract the same information in the report?? For Example: Vunerable Jar 'X' is used by build1 but the工件包含 N 个构建。如果相同的 Vunerable Jar 'X' 被工件中存在的多个其他构建使用，我们能否获取信息。还有其他方法可以让构建所有者了解这个易受攻击的 Jar 'X'可能会在他们的应用程序或构建中使用。

Answer 1

请在下面找到您的疑问的答案。

1. 是的，可以通过对 Xray 服务进行 API 调用来生成报告。 [X 射线 REST API - 报告]
2. 对于按照第二个查询中描述的场景收集数据，我相信这个API 调用会有所帮助。

Answer 2

1. 是 - 这记录在报告部分下的 Xray REST API 文档中。
2. 是的，这也在报告文档中指定，您可以定义所需的 scope 和 select 多个构建或存储库。 至于通知构建所有者 - 这可以通过为包含自动操作的策略创建规则来完成，该规则能够通知部署者和监视接收者。 当违反策略（先前创建的）时触发此事件，Xray 将生成违规（例如 jar X 包含严重性高的漏洞）并且它不符合策略，然后 Xray 将生成通知。 请参阅相关文档。