JFrog XRay漏洞分析——如何找到建议的升级路径

JFrog XRay vulnerability analysis - how to find suggested upgrade path

我正在使用 JFrog XRay,它扫描了我们的 Artifactory 并在第三方库中发现了一个漏洞,这是我的应用程序的依赖项。

从组件扫描中,我单击 CVE 编号并获取此信息

**Details**
 Summary [CVE-XXX-YYY] Improper Input Validation
 Type Security
 Severity Critical
 ....
 Infected Component __internal component__
 Source Version 1.2.3 

然而没有建议"resolution"。例如,"upgrade to 1.2.4" 或 "upgrade to 2.0.1".

理想情况下,我不想安装此组件的所有版本并单独扫描它们。

在这种情况下,"References" 链接不是很有帮助。

任何关于找到安全升级到 JFrog Xray 中识别的易受攻击组件的正确工作流程的建议在这里都是最有帮助的。

当 NVD 报告新漏洞时,修复版本并不总是可用,这就是为什么 Jfrog Xray 并不总是显示它,如果修复版本不可用,选项是:

  1. 如果易受攻击的软件版本有一个范围(1.2,1.5]那么固定版本可以包括1.2之前的任何版本或1.5之后的任何版本

  2. 如果易受攻击的软件版本有一个以上的开放范围,例如(1.2,)那么固定版本可以是1.2之前的任何版本并且包括

  3. 如果易受攻击的软件版本有以下开放范围,例如:(,1.2) 那么固定版本可以是1.2之后的任何版本,包括

注意:最好是查找 'fix version' 字段,它准确指定了修复问题的版本 如果没有指定,以上内容可以提供一定程度的指导。

Jfrog Xray 将报告 'fix version' 仅当来源(报告漏洞的地方)上的信息可用时