我正在与JFrog XRay合作,该公司扫描了我们的Artifactory,并在第三方库中发现了一个漏洞,该漏洞与我的应用程序无关。
从组件扫描中,我点击CVE编号并获得此信息
**Details**
Summary [CVE-XXX-YYY] Improper Input Validation
Type Security
Severity Critical
....
Infected Component __internal component__
Source Version 1.2.3
然而,并没有提出"解决方案"。例如,"升级到1.2.4"或"升级到2.0.1"。
理想情况下,我不想安装这个组件的所有版本并单独扫描它们。
在这种情况下,"参考资料"链接没有那么大帮助。
任何关于找到安全升级到JFrog X射线中识别的易受攻击组件的正确工作流程的建议都将在这里非常有用。
当NVD中报告新漏洞时,修复版本并不总是可用的,这就是为什么Jfrog Xray不总是显示它,如果修复版本不可用,选项有:
-
如果易受攻击的软件版本有一个范围(1.2,1.5](,则修复版本可以包括1.2之前的任何版本或1.5之后的任何版本
-
如果易受攻击的软件版本具有以上开放范围,例如(1.2(,则固定版本可以是1.2之前的任何版本,并包括
-
如果易受攻击的软件版本具有以下开放范围,例如:(,1.2(,则固定版本可以是1.2之后的任何版本,并包括
注意:最好是查找"修复版本"字段,该字段指定了修复问题的确切版本如果没有指定,以上内容可以在一定程度上提供指导。
Jfrog Xray只有在源(报告漏洞的位置(上有可用信息的情况下才会报告"修复版本">