JFROG
XRAY

継続的セキュリティの持続と
ユニバーサルアーティファクト分析
JFrog Xrayについて

Universal artifact analysis

JFrog Xrayは多くのパッケージタイプをサポートしているユニバーサルソリューションです。脆弱性、ライセンス遵守、コンポーネントのバージョンなどに関する様々なメタデータのデータベースと統合されています。
他のバイナリ分析製品と違い、Xrayは、アーティファクトを特定のパッケージングに従ってブレークダウンします。Xrayはそれぞれのパッケージタイプを理解し、どのようにアンパックするか、何が下のレイヤーに含まれているかを知っています。アンパックされた各コンポーネントは個々に検証され、潜在的な脆弱性やポリシー違反を検出し、Xrayのユニバーサルコンポーネントグラフにマッピング、マージされます。このグラフは組織全体のソフトウェア構造を示しています。これにより、ソフトウェアの依存関係を視覚的にし、見つかったすべての問題のインパクトを理解することができます。Xrayは定期的にコンポーネントをスキャンすることで、持続的な保護を提供します。すでにクリーンであることが分かっている場合でも、新しく見つかった脆弱性を明らかにします。

impact analysis Securing Your Binaries

組織が運用システムの安全面、安定性、品質、パフォーマンス、アーキテクチャにおけるアーティファクトのインパクトを理解することを可能にします。

deep recursive scanning

小さなバイナリコンポーネントであっても、ソフトウェアに影響がある場合は、コンポーネントを再帰的にドリルダウン、分析します。Xrayは仮想的にはすべてのパッケージタイプに対するユニバーサルなコンポーネントスキャナーとして動作します。

impact analysis

システム全体のコンポーネントのインパクトを発見し、理解します。小さな変更でもパフォーマンスや品質に大きな影響を与える可能性があります。

dependency tracking

ArtifactoryとXrayが、組織全体のバイナリアーティファクト間の関係を深い再帰的スキャンを行い、分析し、インデックスされたメタデータを表示する依存関係グラフを作成します。1つのコンポーネントが他のものに与えるインパクトを明確に理解することを可能にします。

visibility Collective Metadata in One Place

すべてのバイナリを分析し、収取されたメタデータを視覚化し、明確にすることで、ソフトウェアに対する信頼性を向上します。JFrog Xrayは、ブレークダウンされ、マップ化されたソフトウェアのコンポーネントの全体像を一か所に集約して提供します。開発側であっても、利用側であっても役立ちます。

Advanced Components Search

名前、パッケージタイプ、最終更新日、重要度などに基づいてコンポーネントを検索できます。

drill down

バージョン、セキュリティの脆弱性、関連するOSSライセンス、Artifactoryインスタンス内での発生頻度、すべての前後の世代を表示したグラフ情報を見ることができます。

custom issues

管理を簡単にするために重要度、説明とともにコンポーネントのメタデータにカスタムイシューを割り当てることができます。

remediation

Xrayは、あるイシューに関するバグフィックスが入手可能になったときに通知します。

FULLY AUTOMATED LIFECYCLE SECURITY from development to production

従来のバイナリ分析ツールを違い、JFrog XrayはREST APIを使って完全に自動化されたプラットフォームです。これはCI/CDパイプラインとインテグレーションでき、ユニークな再帰的スキャン機能を利用して、他のセキュリティ分析ツールをXrayプラットフォーム上に構築することを可能にします。このAPIは、パフォーマンス、品質、アクセスの増加、他の必要条件を満たすために、カスタムのスキャン機能を追加することもできます。

High Availability

完全なDevOpsのセキュリティのため、マルチレイヤーによる分析で高い可用性を確保しています。ダウンタイムなく、ビジネスニーズに準拠した統制や監査に対応します。

Powerful REST API

オープンなAPIを使って自動化が可能:
  • アーティファクトやビルドで発見されたセキュリティの脆弱性とライセンスのサマリを取得します。

  • ビルドとアーティファクトのバージョン間のコンポーネントの差を比較します。

CI/CD Integration

  • JenkinsやTeamCityなどの主要なCIサーバーとネイティブに連携します。
  • サプライチェーンの一部としてビルドをスキャンし、セキュリティの脆弱性やライセンスポリシー違反の場合には承認または切り離しを行います。
  • TravisやCircleCIのようなオンプレミス、クラウドのCIサーバーからJFrog CLIでビルドを直接スキャンします。

IDE Integration

  • IntelliJ IDEAとの統合は、開発のなるべく早い段階で致命的な問題の発見を提供し、運用に回す段階での脆弱なコンポーネントをより少なくします。
  • 開発者は依存関係にあるコンポーネントの詳細な分析を見ることができ、それらを使うかどうかを決めることができます。
  • 新しく導入したものの依存関係の情報を即座に見ることができ、ライセンスの制限やセキュリティの問題を含んでいる場合の潜在的な脆弱性を特定することができます。

Release Fast Or Die