我在Bitbucket仓库中有相当多的源代码和二进制代码的应用程序。Jenkins是我的CI/CD平台,它是本地安装的。在大多数情况下,Jenkins作业只是从Bitbucket存储库中提取二进制文件并部署到目标主机我们的开发人员通常在本地执行构建并推送源文件和二进制文件(.Net)到repos。有几个项目是npm或ant/maven构建。我的CISO希望使用JFrog Xray将漏洞扫描集成到CI流程中。因此,我有几个问题。
- JFrog/Xray是否将扫描作为构建步骤执行,而无需切换到Artifactory进行版本控制?
1.我需要哪个版本的JFrog/Xray?免费版本可以工作吗?
1.我需要在本地安装JFrog/Xray吗?还是可以使用托管版本?
1.有没有我的用例的文档?我看过JFrog的文档,但大部分都与使用Artifactory有关。
1.有没有比JFrog/Xray更好的替代品?
1条答案
按热度按时间wydwbb8l1#
1.不,没有伪影的X射线永远不起作用
1.对于本地版本,这是onprem环境许可是必要的,对于云,你可以去与免费版本可用。
1.正如您所参考的文档,X射线工作需要Artifactory。