Анализ уязвимости JFrog XRay - как найти предложенный путь обновления
Я работаю с JFrog XRay, который отсканировал нашу Артефакторию и обнаружил уязвимость в сторонней библиотеке, которая является зависимостью моего приложения.
После сканирования компонента я нажимаю на номер CVE и получаю эту информацию
**Details**
Summary [CVE-XXX-YYY] Improper Input Validation
Type Security
Severity Critical
....
Infected Component __internal component__
Source Version 1.2.3
Однако не предлагается "разрешение". Например, "обновить до 1.2.4" или "обновить до 2.0.1".
В идеале я не хочу устанавливать все версии этого компонента и сканировать их по отдельности.
И в этом случае ссылки "Ссылки" не очень полезны.
Любой совет относительно правильного рабочего процесса, чтобы найти безопасное обновление уязвимого компонента, идентифицированного в JFrog Xray, был бы здесь наиболее полезным.
1 ответ
Версия исправления не всегда доступна, когда в NVD сообщается о новой уязвимости, поэтому Jfrog Xray не всегда показывает ее, в случае, если версия исправления недоступна, варианты:
если уязвимые версии программного обеспечения имеют диапазон (1.2,1.5], то исправленная версия может включать любую версию до 1.2 или любую версию после 1.5
если уязвимые версии программного обеспечения имеют открытый диапазон выше, например (1.2,), то исправленная версия может иметь любую версию до 1.2 и включать
если уязвимые версии программного обеспечения имеют открытый диапазон ниже, например:(,1.2), то исправленная версия может иметь любую версию после 1.2 и включать
Примечание. Лучше всего будет искать поле "исправить версию", в котором указывается именно та версия, которая устраняет проблему, если она не указана, приведенное выше может дать ориентиры для некоторого уровня.
Jfrog Xray сообщит о "исправленной версии", только если информация доступна из источника (где сообщалось об уязвимости)