我正在与JFrog XRay合作,该公司已经扫描了我们的Artifactory,并在第三方库中发现了一个漏洞,该漏洞与我的应用程序有关。
从组件扫描中,我单击CVE编号并获取此信息
**Details**
Summary [CVE-XXX-YYY] Improper Input Validation
Type Security
Severity Critical
....
Infected Component __internal component__
Source Version 1.2.3
但是,没有建议的“解决方案”。例如,“升级到1.2.4”或“升级到2.0.1”。
理想情况下,我不想安装该组件的所有版本并分别进行扫描。
在这种情况下,“参考”链接不是那么有用。
对于在JFrog Xray中发现的安全升级到易受攻击的组件的正确工作流程的任何建议,在这里都是最有用的。
答案 0 :(得分:1)
当NVD中报告了一个新漏洞时,修复版本并不总是可用,这就是为什么Jfrog Xray不能始终显示它的原因,如果该修复版本不可用,则选项为:
如果易受攻击的软件版本具有范围(1.2,1.5],则固定版本可以包含1.2之前的任何版本或1.5之后的任何版本
如果易受攻击的软件版本的开放范围超出示例(例如1.2),则固定版本可以是1.2之前的任何版本并包含
如果容易受到攻击的软件版本具有以下打开范围,例如:(,1.2),则固定版本可以是1.2之后的任何版本并包含
注意:最好的办法是在“修复版本”字段中准确地指定解决问题的版本 如果未指定,则以上内容可以提供一些指导。
只有在来源(报告漏洞的位置)上有可用信息时,Jfrog Xray才会报告“修复版本”