Xrayの新機能でワークフロー、生産性、UXが向上
最近リリースされたJFrog Xrayのバージョン3.31と3.32はワークフロー、生産性、ユーザーエクスペリエンスの向上と合理化を目的とした多くの新機能を搭載しています。
Xrayはオープンソース・ソフトウェアの脆弱性やライセンス・コンプライアンス違反を識別し、リリースから排除するために、開発者やDevSecOpsチームから利用されているJFrog Artifactory向けのソフトウェア構成分析(SCA)ソリューションです。
Xray Reportの複製
この新機能はArtifactory 7.23.x以上が必要ですが、Xray Reportsで既存のレポートの複製を迅速かつ効率的に作成し、レポートとその定義された設定や構成を再利用できるため、頻繁に使用するレポートを再作成する際の時間を大幅に節約できます。
ホットアップグレード
この新しいホットアップグレード機能を使えば、すべてのセカンダリノードの電源を停止することなく、Xray High Availability(HA)環境をアップグレードすることができます。ダウンタイムなしでXray HAのアップグレードを完了できるため、チームの生産性を向上します。
ビルド失敗までの猶予期間の設定
CIサーバがビルド時にスキャンを実行し、設定したWatchが違反をトリガーした場合、Xrayはビルドジョブは失敗します。
ビルドを失敗させることは、CIビルドを安全にし、CI/CDパイプラインに違反が含まれるのを防ぐための一般的な方法です。しかし、常にビルドを失敗させたくない場合もあります。例えば、いくつかの違反がショーストッパーではなく、ビルドを止めずに後で調査する場合などです。
このような場合には、必要に応じて何日かの猶予期間を設定することができます。猶予期間中はビルドは失敗せず、すべての違反が無視されます。猶予期間中は以下の条件で自動Ignore Rulesが作成されます。
- 特定の脆弱性/ライセンス
- 特定のコンポーネント
- 特定のビルドの全バージョン
- 特定のPolicy
- 特定のWatch
猶予期間が終了後、Ignore Rulesは削除され、ビルドに違反が含まれている場合は失敗します。この機能はWatchがターゲットタイプとしてbuildが定義されている場合にのみ使用できます。
詳細はCreating Xray Policies and Rulesをご覧ください。
REST APIで猶予期間をサポート
Create Policy REST APIで猶予期間機能をサポートするために、新しいパラメータが追加されました。
強化されたXray依存関係スキャンとオンデマンド・バイナリ・スキャン
シフトレフトとは開発者がコードをチェックインする前を含む、SDLCのできるだけ早い段階で脆弱性やライセンス違反をキャッチし、修正することです。Artifactoryにコミットする前にソースコードの依存関係やバイナリをオンデマンドでスキャンすることは究極のシフトレフト戦術です。このユースケースが必要な理由は次の通りです。
- バイナリやビルドのすべてがArtifactoryに保存されていない場合
- Artifactoryにアップロードする前に脆弱性やライセンス違反を発見した場合
- セキュリティ担当者がバイナリをスキャンして確認する必要がある場合
- 組織が承認されたバイナリのみをArtifactoryにデプロイしたい場合
最近リリースされたXray DependenciesとXray On-Demand Binaryスキャン機能に違反を無視するオプションが追加されました。各スキャンのJSONレポートにはIgnore Rule URLが含まれており、Ignore Rulesで記述していますが、レポート内の違反に対するIgnore Rulesを作成できます。
Watchの新しいフィルター
Xrayバージョン3.31.x以降ではXrayのWatchesページのWatchesリストをフィルタリングし、自分に関連のあるWatchesだけを絞り込んで表示することができます。右上のFilterボタンを選択することで、さまざまなオプションを備えたフィルタが表示されます。見たいWatchesやWatchデータを表示するために、フィルタリングオプションを設定します。
詳細はConfiguring Xray Watchesをご覧ください。
Ignore Rulesのフィルター
Ignore Rulesのリストを、さまざまな条件で絞り込むことができるようになりました。これにより、自分に関連のあるIgnore Rulesだけが表示されます。右上のFilterボタンを選択すると、フィルターのドロップダウンが表示され、表示したいIgnore RulesやIgnore Rulesのデータを表示するためのオプションを設定できます。
[注: 上記の新機能を利用する場合、Artifactoryのバージョン7.25.x以上が必要です。]
詳細はIgnore Rulesをご覧ください。
Ignore Rules REST API拡張
チームがJFrog ProjectsとREST APIを使って共同作業をしている場合、Get Ignore Rules REST APIでプロジェクト別にソート可能な新機能が提供されました。これにより、JFrog ProjectsでREST APIとIgnore Rulesを利用している場合、ワークフローの効率化をできます。
これらの新機能はXrayユーザーの皆様にご利用いただけます。JFrogのアカウントをまだお持ちでない方へ。2つの方法でArtifactoryとXrayへの無料アクセスを簡単に得ることができます。セルフホステッドオプションでの30日間の無料トライアルまたはCI/CDオーケストレーションソリューションのJFrog Pipelinesを含むクラウドオプションでの永続的な無料サブスクリプションがあります。