helping to deliver secure software updates from code to the edge.
You have been redirected to the JFrog website
Erkennen, priorisieren und
beseitigen Sie Open Source
Software-Risken in Ihrem gesamten SDLC
Ermöglichen Sie Ihren Entwicklern, Sicherheits- und Compliance-Probleme leicht zu finden und zu beheben
Was ist JFrog Xray?
JFrog Xray ist ein SCA-Tool (Software Composition Analysis) der Enterprise-Klasse, das Unternehmen eine einfache Möglichkeit bietet, Sicherheitslücken und Lizenz-Compliance-Probleme in Open Source-Software (OSS) und Komponenten von Drittanbietern zu identifizieren, zu priorisieren und zu beheben.
Frühzeitige Identifikation und
schnelle Abhilfe
Identifizieren, priorisieren und beheben Sie Schwachstellen in Ihren Open Source-Paketen und -Binärdateien, indem Sie Ihre Repositorys, Build-Paketen und Container-Images während des gesamten Entwicklungszyklus kontinuierlich scannen. Erkennen Sie Sicherheitsbedrohungen frühzeitig, um Risiken zu reduzieren, Fehlerbehebungen zu beschleunigen und Kosten zu sparen
Developer Produktivität und DevX
Nahtlose Integration mit Entwicklertools, was einen effizienten und automatisierten Schutz des Codes mit minimalen Auswirkungen auf Build-Zeiten ermöglicht. Zeigen Sie anfällige Abhängigkeiten inklusive Vorschlägen zur Lösung und Kontext direkt in Ihrer IDE/CLI an. Automatisieren Sie Ihre Pipeline mit JFrogs CLI-Tool und führen Sie Abhängigkeits-, Container- und On-Demand-Scans durch.
Lizenz-Compliance
im großen Maßstab
Verschaffen Sie sich einen vollständigen Überblick über direkte und indirekte Abhängigkeiten mit automatisch generierten Software-Stücklisten (SBOMs). Erkennen und beheben Sie Probleme mit Open-Source-Lizenzen, bevor sie sich in der Produktionsumgebung manifestieren, und erstellen Sie auf einfache Weise Richtlinien, um Vorschriften durchzusetzen und Compliance-Berichte über alle Ihre Open-Source-Software-Lizenzen zu erstellen.
Operatives Risiko-
Management
Greifen Sie auf zusätzliche Daten zu Open-Source-Komponenten zu, um das operationelle Risiko zu bewerten. Erstellen Sie benutzerdefinierte Richtlinien, um Pakete basierend auf Risikofaktoren wie Versionsalter, Anzahl der Mitwirkenden, Wartungsrhythmus, Anzahl der Commits und End-of-Life zu blockieren.
CVE-Forschung und Ergänzung
durch das JFrog Security Research Team
Verbessern Sie proaktiv Ihre Sicherheitslage mit detaillierten CVE-Ergebnissen und Schwachstellendaten von JFrogs engagiertem Security Research Team. Gewinnen Sie ein besseres Verständnis des tatsächlichen Risikos, priorisieren Sie hochkarätige CVEs und beschleunigen Sie deren Behebung durch effektive Ressourcenzuweisung.
Warum Kunden JFrog Xray
„Die meisten großen Unternehmen haben mehrere Standorte. Die Authentifizierung und Berechtigung muss daher effizient standortübergreifend verwaltet werden. JFrog Enterprise+ bietet uns ein ideales Setup, dank dem wir unsere strengen Anforderungen von Anfang erfüllen können. Die fortschrittlichen Fähigkeiten der Software wie Access Federation reduzieren unsere Gemeinkosten, indem die Benutzer, Berechtigungen und Gruppen zwischen den Standorten synchronisiert werden.”
Siva Mandadi
DevOps – Autonomous Driving, Mercedes
„JFrog Enterprise+ erhöht die Produktivität der Entwickler und beseitigt Frustrationen. JFrog Distribution ist im Grunde ein lokales CDN, das es uns ermöglicht, Software an entfernte Standorte auf zuverlässige Weise zu verteilen. Dabei ermöglicht JFrog Access Federation es uns, Zugangsdaten, Zugriff und Gruppenmitglieder ganz einfach über verschiedene Orte zu teilen."
Artem Semenov
Senior Manager für DevOps und Tooling,
Align Technology
Align Technology
„Statt eines 15-monatigen Zyklus können wir heute praktisch auf Anfrage freigeben“.
Martin Eggenberger
Chief Architect,
Monster
Monster
„Als langjähriger DevOps-Ingenieur weiß ich, wie schwierig es sein kann, den Überblick über die unzähligen Pakettypen – alte und neue – zu behalten, die Unternehmen in ihrem Bestand haben. JFrog hat immer phänomenale Arbeit geleistet, um unser Team zu unterstützen, effizient und einsatzbereit zu halten – denn wenn JFrog ausfällt, können wir genauso gut nach Hause gehen. Mit der AWS-Infrastruktur im Rücken wissen wir, dass wir mit Zuversicht überall dort entwickeln und liefern können, wo es unser Geschäft heute und in Zukunft erfordert.“
Joel Vasallo
Leiter Cloud DevOps,
Redbox
Redbox
„Dank der Fähigkeiten von Artifactory können wir das tun, was wir heute tun können … Mit Xray ist Sicherheit ein Kinderspiel – es ist integriert, einfach einschalten, wow! Ich nutze es den ganzen Tag.“
Larry Grill,
DevSecOps Senior Manager,
Hitachi Vantara
Hitachi Vantara
„Als wir das Problem mit log4j hatten, wurde dies an einem Freitagnachmittag bekannt gegeben. Aber [dank JFrog] hatten wir bis Montagmittag schon alle Städte gepatcht.“
Hanno Walischewski
Leitender Systemarchitekt,
Yunex Traffic
Yunex Traffic
„Eine der Lehren, die wir aus diesem Kompromiss gezogen haben, ist, dass Sie Ihr System generell so einrichten sollten, dass kein Build direkt aus dem Internet erstellt wird, ohne dass ein zwischengeschaltetes Scan-Tool die Abhängigkeiten validiert, die Sie in Ihre Builds einbringen. Hierzu nutzen wir eine Instanz von JFrog® Artifactory® – nicht den Clouddienst –, die unsere Abhängigkeiten hostet und die einzige valide Quelle für Softwareartefakte bildet, die für Staging, Produktion oder On-Premises-Releases bestimmt sind.”
Der neue Standard in der sicheren Softwareentwicklung:
Das SolarWinds Next-Generation-Build-System
Das SolarWinds Next-Generation-Build-System
SolarWinds
„Seit der Umstellung auf Artifactory konnte unser Team den Wartungsaufwand erheblich reduzieren … und wir sind in der Lage, uns weiterzuentwickeln und eine tiefergehende DevOps-Organisation zu sein.“
Stefan Krause
Software-Ingenieur,
Workiva
Workiva
"Über 300.000 Benutzer weltweit vertrauen auf PRTG, um wichtige Teile ihrer unterschiedlich großen Netzwerke zu überwachen. Daher ist es unsere Pflicht, nicht nur unsere Software als solche zu entwickeln und zu verbessern, sondern auch die damit verbundenen Sicherheits- und Freigabeprozesse. JFrog hilft uns, dies auf die effizienteste Weise zu realisieren.”
Konstantin Wolff
Infrastructure Engineer,
Paessler AG
Paessler AG
„JFrog Connect ist für mich ein echtes Skalierungswerkzeug, mit dem ich Edge-IoT-Integrationen deutlich schneller bereitstellen und in größerem Umfang verwalten kann. Wir benötigen weniger manuelle, einmalige Eingriffe, um Verbindungen mit verschiedenen Kundenstandorten mit unterschiedlichen VPNs und Firewall-Anforderungen herzustellen.”
Ben Fussell
Systems Integration Engineer,
Ndustrial
Ndustrial
„Wir wollten herausfinden, was wir wirklich nutzen können, statt fünf oder sechs verschiedene Anwendungen zu haben und zu pflegen. Sie pflegen zu müssen. Wir suchten nach einer einzigen Lösung. Und Artifactory war unsere Rettung. Es wurde unsere zentrale Anlaufstelle. Sie bietet uns wirklich alles, was wir brauchen.“
Keith Kreissl
Hauptentwickler,
Cars.com
Cars.com
„Die meisten großen Unternehmen haben mehrere Standorte. Die Authentifizierung und Berechtigung muss daher effizient standortübergreifend verwaltet werden. JFrog Enterprise+ bietet uns ein ideales Setup, dank dem wir unsere strengen Anforderungen von Anfang erfüllen können. Die fortschrittlichen Fähigkeiten der Software wie Access Federation reduzieren unsere Gemeinkosten, indem die Benutzer, Berechtigungen und Gruppen zwischen den Standorten synchronisiert werden.”
Siva Mandadi
DevOps – Autonomous Driving, Mercedes
„JFrog Enterprise+ erhöht die Produktivität der Entwickler und beseitigt Frustrationen. JFrog Distribution ist im Grunde ein lokales CDN, das es uns ermöglicht, Software an entfernte Standorte auf zuverlässige Weise zu verteilen. Dabei ermöglicht JFrog Access Federation es uns, Zugangsdaten, Zugriff und Gruppenmitglieder ganz einfach über verschiedene Orte zu teilen."
Artem Semenov
Senior Manager für DevOps und Tooling,
Align Technology
Align Technology
„Statt eines 15-monatigen Zyklus können wir heute praktisch auf Anfrage freigeben“.
Martin Eggenberger
Chief Architect,
Monster
Monster
„Als langjähriger DevOps-Ingenieur weiß ich, wie schwierig es sein kann, den Überblick über die unzähligen Pakettypen – alte und neue – zu behalten, die Unternehmen in ihrem Bestand haben. JFrog hat immer phänomenale Arbeit geleistet, um unser Team zu unterstützen, effizient und einsatzbereit zu halten – denn wenn JFrog ausfällt, können wir genauso gut nach Hause gehen. Mit der AWS-Infrastruktur im Rücken wissen wir, dass wir mit Zuversicht überall dort entwickeln und liefern können, wo es unser Geschäft heute und in Zukunft erfordert.“
Joel Vasallo
Leiter Cloud DevOps,
Redbox
Redbox
„Dank der Fähigkeiten von Artifactory können wir das tun, was wir heute tun können … Mit Xray ist Sicherheit ein Kinderspiel – es ist integriert, einfach einschalten, wow! Ich nutze es den ganzen Tag.“
Larry Grill,
DevSecOps Senior Manager,
Hitachi Vantara
Hitachi Vantara
„Als wir das Problem mit log4j hatten, wurde dies an einem Freitagnachmittag bekannt gegeben. Aber [dank JFrog] hatten wir bis Montagmittag schon alle Städte gepatcht.“
Hanno Walischewski
Leitender Systemarchitekt,
Yunex Traffic
Yunex Traffic
„Eine der Lehren, die wir aus diesem Kompromiss gezogen haben, ist, dass Sie Ihr System generell so einrichten sollten, dass kein Build direkt aus dem Internet erstellt wird, ohne dass ein zwischengeschaltetes Scan-Tool die Abhängigkeiten validiert, die Sie in Ihre Builds einbringen. Hierzu nutzen wir eine Instanz von JFrog® Artifactory® – nicht den Clouddienst –, die unsere Abhängigkeiten hostet und die einzige valide Quelle für Softwareartefakte bildet, die für Staging, Produktion oder On-Premises-Releases bestimmt sind.”
Der neue Standard in der sicheren Softwareentwicklung:
Das SolarWinds Next-Generation-Build-System
Das SolarWinds Next-Generation-Build-System
SolarWinds
„Seit der Umstellung auf Artifactory konnte unser Team den Wartungsaufwand erheblich reduzieren … und wir sind in der Lage, uns weiterzuentwickeln und eine tiefergehende DevOps-Organisation zu sein.“
Stefan Krause
Software-Ingenieur,
Workiva
Workiva
"Über 300.000 Benutzer weltweit vertrauen auf PRTG, um wichtige Teile ihrer unterschiedlich großen Netzwerke zu überwachen. Daher ist es unsere Pflicht, nicht nur unsere Software als solche zu entwickeln und zu verbessern, sondern auch die damit verbundenen Sicherheits- und Freigabeprozesse. JFrog hilft uns, dies auf die effizienteste Weise zu realisieren.”
Konstantin Wolff
Infrastructure Engineer,
Paessler AG
Paessler AG
„JFrog Connect ist für mich ein echtes Skalierungswerkzeug, mit dem ich Edge-IoT-Integrationen deutlich schneller bereitstellen und in größerem Umfang verwalten kann. Wir benötigen weniger manuelle, einmalige Eingriffe, um Verbindungen mit verschiedenen Kundenstandorten mit unterschiedlichen VPNs und Firewall-Anforderungen herzustellen.”
Ben Fussell
Systems Integration Engineer,
Ndustrial
Ndustrial
„Wir wollten herausfinden, was wir wirklich nutzen können, statt fünf oder sechs verschiedene Anwendungen zu haben und zu pflegen. Sie pflegen zu müssen. Wir suchten nach einer einzigen Lösung. Und Artifactory war unsere Rettung. Es wurde unsere zentrale Anlaufstelle. Sie bietet uns wirklich alles, was wir brauchen.“
Keith Kreissl
Hauptentwickler,
Cars.com
Cars.com
Sichern Sie Ihre Software-Lieferkette
auf ganzer Linie mit der JFrog Platform
Nahtloses Kuratieren von Softwarepaketen und ML-Modellen
Scanning und Auswirkungsanalyse von Schwachstellen in der Lieferkette
Echtzeit-Einblicke in Laufzeit-Schwachstellen
Erhöhte Sicherheit für das
Scannen von Quellcode- und Binärdateien
Mit JFrog Advanced Security können Entwicklungsteams ihren Code bereits während des Programmierens scannen, während DevOps- und Securityteams die Sicherheit von Binärdateien regeln und entsprechende Richtlinien setzen können – alles mit JFrogs fortschrittlichen Scannern, die eine effiziente Priorisierung ermöglichen und die Alert Fatigue aufgrund von Informationsüberflutung reduzieren.
Driven By Dedicated Research
JFrogs Security Research-Team aus über 20 zertifizierten Experten betreibt bahnbrechende Forschung im Bereich der Sicherheit der Software-Lieferkette, deckt neue Open-Source-Schwachstellen auf, analysiert neuartige Angriffsmethoden und bietet Community und Kunden zeitnahe Unterstützung durch OSS-Tools.
2,000+
Erkennung bösartiger Pakete
Erkennung bösartiger Pakete
1700+
Scanner Anwendbarkeit
20+
Freigegebene OSS Tools
Freigegebene OSS Tools
140+
Aufgedeckte Schwachstellen
Aufgedeckte Schwachstellen
Zusätzliche Ressourcen zur Sicherheit
Lösungsblatt
Der ultimative Leitfaden zu JFrog Security
WEITERLESEN
Bericht zur Sicherheitsforschung
Eingehende Analyse der wichtigsten Open-Source-Schwachstellen
BERICHT LESEN
Webinar
Sicherheit der Software-Lieferkette mit Xray Essentials und Advanced Security
JETZT ANSEHEN
Blog
Sparen Sie Zeit, indem Sie nur die relevanten Abhängigkeiten in Ihrer IDE beheben
WEITERLESEN
Git OSS-Scan-Tool
Frogbot – Der JFrog Security Git Bot
Mehr erfahren
Blog zur Sicherheitsforschung
Skalieren und verbessern Sie Ihre Sicherheitslage mit dem Shift-Left-Ansatz!
WEITERLESEN
Frequently Asked Questions
Yes. Just as Artifactory is part of the JFrog platform, Xray is another member of the JFrog Platform. This is why Artifactory and Xray work hand in hand and there is immense metadata that gets shared between both the products, which is not only how you can understand the problem, but also the scope of the problem when it comes to the scans that Xray does.
You have Xray if your subscription is Pro-X or above (EnterpriseX or Enterprise+)
Among many things that Xray supports, the most popular ones are: Docker, Maven, Pypi, Npm, Nuget, etc. However, there are many others. Xray is very universal in nature, just the way Artifactory is, which is how you can not only store all these different package types in one place, but you can also run scans periodically in order to find out if you are exposed to any unknown risks due to open source usage.
Yes. It can scan deeply and recursively to find out all of the different layers an image is made of and can understand all the components each layer can be made of. This is how you can get an exhaustive list of all the different dependencies being used. In addition, thereafter, you can also find out which of those could be violating any existing policy conditions.
Yes. It can run scans on your images as well as built artifacts that get uploaded to Artifactory. In addition it can capture metadata of the build process itself (build info) you can then publish this back to the JFrog platform and then run scans from the build info. This is how you can comprehensively cover all of the dependencies that took part in the particular build and understand what kind of risk you may have been exposed to.
All of the popular IDEs that are typically used by developers nowadays are supported by Xray’s shift left approach, which includes plugins for the following: VS Code, IntelliJ, Visual Studio, PyCharm, etc.
Yes, Xray definitely supports multiple policies. In fact many of our existing customers do have multiple policies, which can then be enabled on multiple repositories. This way you are comprehensively covering all of the important repositories that you have in mind, along with the important policies you have created upfront, so that you are catching the issues as they occur, which is highlighted by Xray.
Yes, it happens automatically and typically once a day. However, when there are security incidents, we do make sure we roll out as many updates as possible as we keep learning more and more about the incident, so that our users are equally equipped with dealing with the latest security incident on that given day.
