我使用JFrog XRay v1.10.1 和 Artifactory v5.2.1 (两个PRO版本)。
我无法在XRay文档(和Google)中找到XRay如何在更新漏洞数据库时自动重新扫描Artifactory中未更改的工件。
XRay遵循的重新扫描政策是什么?
提前致谢:)
答案 0 :(得分:1)
Xray会保留所有扫描组件及其之间关系的图表,例如,如果某个Java库是war文件的一部分。
当一个新的漏洞被添加到数据库时,Xray将检查受影响的组件是否出现在dependency graph中,如果是,将检查它是如何影响图的其余部分的。例如,如果发现Docker镜像中的debian包受到影响,Xray也会将Docker镜像标记为受影响。这在Xray术语中称为impact analysis
这在watches部分的文档中进行了解释。