Анализ уязвимости JFrog XRay - как найти предложенный путь обновления

Question

Я работаю с JFrog XRay, который отсканировал нашу Артефакторию и обнаружил уязвимость в сторонней библиотеке, которая является зависимостью моего приложения.

После сканирования компонентов я нажимаю на номер CVE и получаю эту информацию

**Details**
 Summary [CVE-XXX-YYY] Improper Input Validation
 Type Security
 Severity Critical
 ....
 Infected Component __internal component__
 Source Version 1.2.3 

Однако не предлагается "разрешение". Например, «обновить до 1.2.4» или «обновить до 2.0.1».

В идеале я не хочу устанавливать все версии этого компонента и сканировать их по отдельности.

И в этом случае ссылки "Ссылки" не очень полезны.

Любой совет относительно правильного рабочего процесса для поиска безопасного обновления до уязвимого компонента, определенного в JFrog Xray, был бы здесь наиболее полезным.

Answer 1

Версия исправления не всегда доступна, когда в NVD сообщается о новой уязвимости, поэтому Jfrog Xray не всегда показывает ее, в случае, если версия исправления недоступна, варианты:

1. если версии уязвимого программного обеспечения имеют диапазон (1.2,1.5], тогда фиксированная версия может включать любую версию до 1.2 или любую версию после 1.5

2. , если версии уязвимого программного обеспечения имеютоткрытый диапазон выше, пример (1.2,), затем фиксированная версия может быть любой версии до 1.2 и включать

3. , если уязвимые версии программного обеспечения имеют открытый диапазон ниже, например :(, 1.2) затемисправленная версия может иметь любую версию после 1.2 и включать

Примечание : Лучше всего будет искать поле 'fix version', где указывается именно версия, которая исправляетпроблема, если она не указана, приведенная выше может дать указания на некотором уровне.

Jfrog Xray сообщит о «исправленной версии», только если информация доступна наисточник (где сообщалось об уязвимости)