Qu'est-ce que JFrog Xray?

JFrog Xray est un outil professionnel d’analyse de composition logicielle (SCA) qui offre aux entreprises un moyen simple d’identifier, de hiérarchiser et de corriger les vulnérabilités de sécurité et les problèmes de conformité des licences dans les logiciels open source (OSS) et les composants tiers.

Détection précoce
et correction rapide

Identifiez, hiérarchisez et corrigez facilement les vulnérabilités de vos packages open source et fichiers binaires en effectuant une analyse continue des dépôts, packages de builds et images de conteneurs tout au long du cycle de développement. Détectez les menaces de sécurité à un stade précoce pour réduire les risques, accélérer les corrections et réduire les coûts

Productivité et expérience des développeurs

Intégrez de manière transparente les outils de développement, permettant une protection efficace et automatique du code avec un impact minimal sur les délais d'assemblage. Visualisez les dépendances vulnérables accompagnées de mesures de correction et le contexte directement dans votre EDI/outil CLI. Automatisez votre pipeline avec l'outil CLI de JFrog pour réaliser des analyses de dépendances, de conteneurs et à la demande.

Conformité des licences
à grande échelle

Bénéficiez d'une visibilité totale sur les dépendances directes et indirectes grâce aux nomenclatures logicielles (SBOM) générées automatiquement. Détectez et résolvez les problèmes de licences open source avant qu'ils ne se manifestent en production. Élaborez facilement des stratégies pour appliquer les réglementations et générer des rapports de conformité de toutes vos licences OSS.

Gestion des
risques opérationnels

Accédez à des données supplémentaires sur les composants OSS pour évaluer les risques opérationnels. Élaborez des stratégies personnalisées pour bloquer les packages en fonction de facteurs de risque tels que l'âge des versions, le nombre de contributeurs, la cadence de maintenance, le nombre de validations et la fin de vie.

Recherche et enrichissement des CVE
par l'équipe de recherche en sécurité JFrog

Appliquez de manière proactive votre posture en matière de sécurité à partir des résultats détaillés de CVE et des données de vulnérabilité fournies par l'équipe de recherche en sécurité dédiée de JFrog. Comprenez mieux les risques réels, hiérarchisez les CVE de haut niveau et accélérez les corrections grâce à une affectation efficace des ressources.

Why Customers Trust JFrog Xray

« La plupart des grandes entreprises ont plusieurs sites. Il est donc essentiel pour elles de gérer efficacement les authentifications et les autorisations entre leurs sites. JFrog Enterprise+ fournit une solution idéale qui répond à nos exigences strictes dès le départ. Ses fonctionnalités avancées, comme Access Federation, réduiront nos coûts tout en maintenant la synchronisation des utilisateurs, des autorisations et des groupes entre les sites. »
Siva Mandadi
DevOps - Autonomous Driving, Mercedes
« JFrog Enterprise+ augmente la productivité des développeurs et balaye les frustrations. JFrog Distribution est un réseau de livraison de contenu (CDN) interne qui facilite la distribution de logiciels vers des sites distants de manière fiable. De son côté, JFrog Access Federation permet de partager facilement les identifiants, les accès et les membres du groupe entre différents sites. »
Artem Semenov
Senior Manager for DevOps and Tooling,
Align Technology
"Instead of a 15-month cycle, today we can release virtually on request.”
Martin Eggenberger
Chief Architect,
Monster
« Ingénieur DevOps depuis de nombreuses années, je ne connais que trop bien la difficulté du suivi des nombreux types de packages, anciens comme récents, que les sociétés accumulent. JFrog a toujours mis tout en œuvre pour garantir le soutien, l'efficacité et le fonctionnement de notre équipe. Si JFrog devait sortir de l'échiquier, nous devrions en faire autant. Fort heureusement, une infrastructure AWS couvrant également nos arrières, nous pouvons développer et proposer nos produits en toute confiance partout où notre activité l'exige, aujourd'hui comme demain. »
Joel Vasallo
Head of Cloud DevOps,
Redbox
« Les fonctionnalités d'Artifactory nous permettent d'accomplir de nombreuses choses actuellement… Avec Xray, [la sécurité] est une évidence. Elle est intégrée, il suffit de l'activer et c'est parti ! Je ne peux plus faire sans. »
Larry Grill,
DevSecOps Sr. Manager,
Hitachi Vantara
“When we had that issue with log4j, it was announced on Friday afternoon and [using JFrog] by Monday at noon we had all cities rolled out with the patch.”
Hanno Walischewski
Chief System Architect,
Yunex Traffic
« L'une des leçons que nous avons tirées de ce compromis est, qu'en général, il faut organiser votre système de manière à ne jamais assembler directement à partir d'Internet sans aucun outil d'analyse en place pour valider les dépendances que vous apportez dans vos builds. À cette fin, nous utilisons une instance de JFrog® Artifactory®, et non le service Cloud, pour héberger nos dépendances. C'est la seule source valide pour tous les artefacts logiciels destinés au transfert, à la production ou aux publications sur site. »
Setting the New Standard in Secure Software Development:
The SolarWinds Next-Generation Build System
SolarWinds
"Since moving to Artifactory, our team has been able to cut down our maintenance burden significantly…we’re able to move on and be a more in depth DevOps organization."
Stefan Krause
Software Engineer,
Workiva
« Plus de 300 000 utilisateurs dans le monde font confiance à PRTG pour superviser les éléments vitaux de leurs réseaux de différentes tailles. Il est donc de notre devoir de développer et d'améliorer non seulement notre logiciel lui-même, mais aussi les processus de sécurité et de publication qui l'entourent. JFrog nous aide à le faire de la manière la plus efficace. »
Konstantin Wolff
Infrastructure Engineer,
Paessler AG
« JFrog Connect est vraiment un outil de mise à l'échelle qui me permet de déployer des intégrations IoT de périphérie beaucoup plus rapidement et de les gérer à plus grande échelle. Moins d'interventions manuelles et ponctuelles sont nécessaires lors de la connexion à différents sites clients avec différentes exigences en matière de VPN et de pare-feu. »
Ben Fussell
Systems Integration Engineer,
Ndustrial
« Nous voulions savoir ce que nous pouvions vraiment utiliser au lieu d'avoir cinq ou six applications différentes, dont il fallait assurer la maintenance. Existait-il une solution unique que nous pouvions utiliser ? Et notre salut est venu d'Artifactory. C'est vraiment devenu une solution unique pour nous, nous fournissant tout ce dont nous avions besoin. »
Keith Kreissl
Principal Developer,
Cars.com
« La plupart des grandes entreprises ont plusieurs sites. Il est donc essentiel pour elles de gérer efficacement les authentifications et les autorisations entre leurs sites. JFrog Enterprise+ fournit une solution idéale qui répond à nos exigences strictes dès le départ. Ses fonctionnalités avancées, comme Access Federation, réduiront nos coûts tout en maintenant la synchronisation des utilisateurs, des autorisations et des groupes entre les sites. »
Siva Mandadi
DevOps - Autonomous Driving, Mercedes
« JFrog Enterprise+ augmente la productivité des développeurs et balaye les frustrations. JFrog Distribution est un réseau de livraison de contenu (CDN) interne qui facilite la distribution de logiciels vers des sites distants de manière fiable. De son côté, JFrog Access Federation permet de partager facilement les identifiants, les accès et les membres du groupe entre différents sites. »
Artem Semenov
Senior Manager for DevOps and Tooling,
Align Technology
"Instead of a 15-month cycle, today we can release virtually on request.”
Martin Eggenberger
Chief Architect,
Monster
« Ingénieur DevOps depuis de nombreuses années, je ne connais que trop bien la difficulté du suivi des nombreux types de packages, anciens comme récents, que les sociétés accumulent. JFrog a toujours mis tout en œuvre pour garantir le soutien, l'efficacité et le fonctionnement de notre équipe. Si JFrog devait sortir de l'échiquier, nous devrions en faire autant. Fort heureusement, une infrastructure AWS couvrant également nos arrières, nous pouvons développer et proposer nos produits en toute confiance partout où notre activité l'exige, aujourd'hui comme demain. »
Joel Vasallo
Head of Cloud DevOps,
Redbox
« Les fonctionnalités d'Artifactory nous permettent d'accomplir de nombreuses choses actuellement… Avec Xray, [la sécurité] est une évidence. Elle est intégrée, il suffit de l'activer et c'est parti ! Je ne peux plus faire sans. »
Larry Grill,
DevSecOps Sr. Manager,
Hitachi Vantara
“When we had that issue with log4j, it was announced on Friday afternoon and [using JFrog] by Monday at noon we had all cities rolled out with the patch.”
Hanno Walischewski
Chief System Architect,
Yunex Traffic
« L'une des leçons que nous avons tirées de ce compromis est, qu'en général, il faut organiser votre système de manière à ne jamais assembler directement à partir d'Internet sans aucun outil d'analyse en place pour valider les dépendances que vous apportez dans vos builds. À cette fin, nous utilisons une instance de JFrog® Artifactory®, et non le service Cloud, pour héberger nos dépendances. C'est la seule source valide pour tous les artefacts logiciels destinés au transfert, à la production ou aux publications sur site. »
Setting the New Standard in Secure Software Development:
The SolarWinds Next-Generation Build System
SolarWinds
"Since moving to Artifactory, our team has been able to cut down our maintenance burden significantly…we’re able to move on and be a more in depth DevOps organization."
Stefan Krause
Software Engineer,
Workiva
« Plus de 300 000 utilisateurs dans le monde font confiance à PRTG pour superviser les éléments vitaux de leurs réseaux de différentes tailles. Il est donc de notre devoir de développer et d'améliorer non seulement notre logiciel lui-même, mais aussi les processus de sécurité et de publication qui l'entourent. JFrog nous aide à le faire de la manière la plus efficace. »
Konstantin Wolff
Infrastructure Engineer,
Paessler AG
« JFrog Connect est vraiment un outil de mise à l'échelle qui me permet de déployer des intégrations IoT de périphérie beaucoup plus rapidement et de les gérer à plus grande échelle. Moins d'interventions manuelles et ponctuelles sont nécessaires lors de la connexion à différents sites clients avec différentes exigences en matière de VPN et de pare-feu. »
Ben Fussell
Systems Integration Engineer,
Ndustrial
« Nous voulions savoir ce que nous pouvions vraiment utiliser au lieu d'avoir cinq ou six applications différentes, dont il fallait assurer la maintenance. Existait-il une solution unique que nous pouvions utiliser ? Et notre salut est venu d'Artifactory. C'est vraiment devenu une solution unique pour nous, nous fournissant tout ce dont nous avions besoin. »
Keith Kreissl
Principal Developer,
Cars.com

Secure Your Software Supply Chain
de bout en bout avec la plateforme JFrog

Créez de manière transparente des packages logiciels et des modèles de ML

Analyse de l'exposition de la chaîne d'approvisionnement et analyse d'impact

Visibilité en temps réel des vulnérabilités d'exécution

Sécurité renforcée pour
l'analyse de code source et de fichiers binaires

Grâce à JFrog Advanced Security, les équipes de développement peuvent effectuer une analyse pendant qu’elles codent, tandis que les équipes de DevOps et de sécurité peuvent gérer et définir des contrôleurs d’accès de sécurité sur les fichiers binaires. Tout cela en utilisant les scanners de vulnérabilité avancés de JFrog pour hiérarchiser les opérations de sécurité et réduire les perturbations qu’elles peuvent engendrer.

Driven By Dedicated Research

Frequently Asked Questions

Yes. Just as Artifactory is part of the JFrog platform, Xray is another member of the JFrog Platform. This is why Artifactory and Xray work hand in hand and there is immense metadata that gets shared between both the products, which is not only how you can understand the problem, but also the scope of the problem when it comes to the scans that Xray does.

You have Xray if your subscription is Pro-X or above (EnterpriseX or Enterprise+)

Among many things that Xray supports, the most popular ones are: Docker, Maven, Pypi, Npm, Nuget, etc. However, there are many others. Xray is very universal in nature, just the way Artifactory is, which is how you can not only store all these different package types in one place, but you can also run scans periodically in order to find out if you are exposed to any unknown risks due to open source usage.

Yes. It can scan deeply and recursively to find out all of the different layers an image is made of and can understand all the components each layer can be made of. This is how you can get an exhaustive list of all the different dependencies being used. In addition, thereafter, you can also find out which of those could be violating any existing policy conditions.

Yes. It can run scans on your images as well as built artifacts that get uploaded to Artifactory. In addition it can capture metadata of the build process itself (build info) you can then publish this back to the JFrog platform and then run scans from the build info. This is how you can comprehensively cover all of the dependencies that took part in the particular build and understand what kind of risk you may have been exposed to.

All of the popular IDEs that are typically used by developers nowadays are supported by Xray’s shift left approach, which includes plugins for the following: VS Code, IntelliJ, Visual Studio, PyCharm, etc.

Yes, Xray definitely supports multiple policies. In fact many of our existing customers do have multiple policies, which can then be enabled on multiple repositories. This way you are comprehensively covering all of the important repositories that you have in mind, along with the important policies you have created upfront, so that you are catching the issues as they occur, which is highlighted by Xray.

Yes. Just like the way Artifactory helps you integrate with any of your CI servers (Jenkins, Gitlab, Azure, etc), Xray can also be used along with any of these pipeline scripts. This is done by including Xray scans as one of the many steps you may have in your CI pipelines.

Yes, it happens automatically and typically once a day. However, when there are security incidents, we do make sure we roll out as many updates as possible as we keep learning more and more about the incident, so that our users are equally equipped with dealing with the latest security incident on that given day.

Livrez des versions logicielles fiables
rapidement et à grande échelle