XRay не может обнаружить уязвимость в зависимости от пакета NuGet - PullRequest
Новая
       12

XRay не может обнаружить уязвимость в зависимости от пакета NuGet

0 голосов
/ 16 июня 2019

Я создал тестовый пакет NuGet, который определяет зависимость от jQuery 1.4.2. XRay правильно обнаруживает проблемы безопасности в jQuery при загрузке на мой сервер Artifactory NuGet. Однако когда я загружаю свой тестовый пакет NuGet, в котором в качестве зависимости указан jQuery 1.4.2, XRay не помечает мой пакет как уязвимый.

1) Проверено, что пакет jQuery 1.4.2 Nuget на моем сервере Artifactory правильно определен как уязвимый.

2) Добавлена ​​зависимость в мой тестовый пакет, который перечисляет jQuery 1.4.2. (Я подозревал, что проблема чувствительна к регистру, поэтому я также попытался использовать строчную зависимость как «jquery»).

3) Перепробовал другие известные уязвимые пакеты, кроме jQuery 

<?xml version="1.0" encoding="utf-8"?>
<package xmlns="http://schemas.microsoft.com/packaging/2010/07/nuspec.xsd">
<metadata>
    <id>RogerCruz.VulnerabilitiesGalore</id>
    <title>VulnerabilitiesGalore</title>
    <version>1.0.4.0</version>
    <owners>Roger Cruz</owners>
    <authors>Roger Cruz</authors>
    <releaseNotes>A package that depends on known vulnerable packages.  Use this to test vulnerability scanners.</releaseNotes>
    <requireLicenseAcceptance>false</requireLicenseAcceptance>
    <description>Test package with known vulnerabilities</description>
    <copyright>Copyright Roger Cruz</copyright>
    <dependencies>
        <dependency id="jQuery" version="[1.4.2]"/>
    </dependencies>
</metadata>
<files>
</files>
</package>

Это команды, которые я использую для создания своего тестового пакета NuGet и передачи их в пробные экземпляры Artifactory + XRay cloud. 

nuget.exe pack VulnerabilitiesGalore.nuspec
nuget push .\RogerCruz.VulnerabilitiesGalore.1.0.4.nupkg -Source Trial

Artifactory сообщает, что у моего тестового пакета есть одна зависимость. При просмотре пакета вы можете увидеть следующее свойство. 

nuget.dependency  jQuery:[1.4.2]:

Во всех моих тестовых попытках XRay не определяет мой тестовый пакет (RogerCruz.VulnerabilitiesGalore) как уязвимый, несмотря на наличие определенной зависимости от jQuery 1.4.2, которая уязвима.

Я ожидаю, что он должен был обнаружить это из-за этого утверждения:

"Глубокое рекурсивное сканирование всех слоев пакета NuGet Xray рекурсивно очищает различные слои ваших пакетов NuGet и их зависимости, обеспечивая проверку всех программных артефактов, включенных в ваше программное обеспечение, на наличие проблем и уязвимостей. «

Src: https://jfrog.com/integration/nuget-xray/

...