Xray是一个DevSecOps工具，可以与Artifactory一起检查应用程序依赖关系之间的潜在安全问题。它连接到私人和公共漏洞数据提供商，包括NVD和VulnDB数据库。它支持多种包类型和不同的技术(比如Docker映像、npm或PyPI)，从3.21.2版本开始，它还支持Conan包。PS：Conan 是一个专为C/C++ 项目打造的依赖管理工具

在这篇文章中，我们会介绍如何使用Xray和Artifactory使您的C/ C++ 安全的构建。

如需获取更多信息请联系我们，info@jfrogchina.com

设置Artifactory: 创建Conan 私服仓库

登录到Artifactory实例之后，第一件事是在Artifactory中创建一个新的Conan存储库。在本文中，我们创建了一个名为test-repo的本地存储库。一旦配置了新的存储库，我们将使用Conan remote add和Conan user命令将其添加到Conan本地客户端。

设置Xray: 添加管控策略、规则以及监听器

要开始使用JFrog Xray，首先要定义的是策略。策略只是一组规则，每个规则都定义了一个安全/许可标准，当满足该规则标准时，将触发相应的操作集。我们可以直接进入Administration > Xray > Watches & Policies创建一个新策略。

我们将创建一个名为mycompany-policy的安全策略，并向其添加一条规则。单击“新建规则”，将规则名称设置为low-severity-warning。该规则将匹配最低严重程度漏洞(严重程度评分低于4.0/10.0)。您可以根据预定义的范围(低、中、高或严重)设置严重性警告，或设置自定义CVSS评分范围。当满足规则条件时，可以触发多个操作。我们将为该规则添加Notify Email操作，并检查当上传具有已知安全问题的包时发生了什么。

下一件事就是加一个监听器。监视将资源(如存储库或构建)与策略连接起来。我们将创建一个名为test-watch的监视，它将添加我们的test-repo作为资源(您也可以使用存储库包含模式或将所有存储库添加到监视中)。然后单击Manage Policies将mycompany-policy策略连接到test-repo资源。

使用Conan客户端进行测试

现在我们已经添加了策略并使用一个监听器将我们创建的Conan存储库连接到该策略，现在可以使用Conan客户端对其进行测试了。我们上传一个受某个漏洞影响的Conan包到test-repo存储库，我们应该收到一封关于该漏洞的警告邮件。例如，让我们尝试使用应该受到CVE-2020-1971（https://nvd.nist.gov/vuln/detail/CVE-2020-1971）影响的包：openssl/1.1.1 1h。

$ conan install openssl/1.1.1h@ -r conancenter

$ conan upload openssl/1.1.1h@ --all -c -r test-repo

就在这个包被上传之后，您应该收到一封关于策略违规的电子邮件警告，如下图：

单击链接将带您到您的Artifactory实例。选择Xray数据选项卡将显示软件包中存在的所有漏洞的详细信息。

上述引入漏洞包过程中实时发出警告是非常有帮助的， 安全人员可以实时管控漏洞包的引入，并且安全人员可以设置策略来限制任何人下载这些漏洞包。我们将修改之前添加的规则，并检查Block Download选项。如果我们试图安装任何受安全问题影响的二进制文件，Xray应该会阻止下载。

$ conan remove openssl/1.1.1h@ -f # to force downloading from the server

$ conan install openssl/1.1.1h@ -r test-repo

Configuration:

[settings]

arch=x86_64

arch_build=x86_64

build_type=Release

compiler=apple-clang

compiler.libcxx=libc++

compiler.version=12.0

os=Macos

os_build=Macos

[options]

[build_requires]

[env]

openssl/1.1.1h: Retrieving from server 'test-repo'

openssl/1.1.1h: Trying with 'test-repo'...

ERROR: Permission denied for user: 'test-user@jfrog.com'. [Remote: test-repo]

我们仅展示了一个简单的示例，说明如何使用Conan、Artifactory和Xray使C/ C++ 项目构建更加安全。您还可以尝试使用其他选项，如使用conan_build_info v2（conan 客户端命令）来扫描监听某一个构建所依赖的所有包，按照项目级对引入组件进行安全扫描。此外，你可以尝试在规则中设置一个webhook来进行更复杂的操作，比如自动创建JIRA issue等。

总结

使用JFrog Xray和Artifactory帮助您的C/ C++构建更安全只是几分钟的问题。您可以配置符合公司安全策略的规则，并使用webhooks等特性触发复杂操作。 推进落地DevSecOps 实践，保护软件开发生命周期SDLC。