Я работаю с JFrog XRay, который просканировал наш Artifactory и обнаружил уязвимость в сторонней библиотеке, которая является зависимостью моего приложения.

В сканировании компонентов я нажимаю на номер CVE и получаю эту информацию.

**Details**
 Summary [CVE-XXX-YYY] Improper Input Validation
 Type Security
 Severity Critical
 ....
 Infected Component __internal component__
 Source Version 1.2.3 

Однако предлагаемого «решения» нет. Например, «обновить до 1.2.4» или «обновить до 2.0.1».

В идеале я не хочу устанавливать все версии этого компонента и сканировать их по отдельности.

И в этом случае ссылки «Ссылки» не так полезны.

Здесь будут наиболее полезны любые советы по правильному рабочему процессу для поиска безопасного обновления уязвимого компонента, идентифицированного в JFrog Xray.

0
vikingsteve 15 Ноя 2018 в 17:25

1 ответ

Лучший ответ

Версия исправления не всегда доступна, когда в NVD сообщается о новой уязвимости, поэтому Jfrog Xray не всегда показывает ее, в случае, если версия исправления недоступна, варианты:

  1. если уязвимые версии программного обеспечения имеют диапазон (1.2, 1.5], то фиксированная версия может включать любую версию до 1.2 или любую версию после 1.5.

  2. если уязвимые версии программного обеспечения имеют открытый диапазон выше, например (1.2,), то фиксированная версия может быть любой версией до 1.2 и включать

  3. если уязвимые версии программного обеспечения имеют открытый диапазон ниже, например :(, 1.2), то фиксированная версия может быть любой версией после 1.2 и включать

Примечание . Лучше всего поискать в поле "версия исправления" именно ту версию, которая устраняет проблему. если это не указано, приведенное выше может дать руководство до некоторого уровня.

Jfrog Xray сообщит «версию исправления», только если информация доступна об источнике (где сообщалось об уязвимости)

1
Chen Keinan 22 Ноя 2018 в 12:33