Код моего приложения был недавно отсканирован JFrog XRay, и он дал результат, утверждающий, что используемая версия хранилища ключей Bouncy Castle BKS версии 1 имеет высокую уязвимость.Версия, используемая моим приложением, является версией 1.61, или «исходной версией = 1.61».XRay сообщает, что зараженные версии этой библиотеки <= 1.46 и> = 1.49, и это причина, по которой XRay поймал это.Это означает, что только версии между 1.46 и 1.49 не заражены, все остальное есть, и 1.61 находится вне этой области.Это не может быть правильным.Сайт NVD (https://nvd.nist.gov/vuln/detail/CVE-2018-5382)) утверждает, что все версии до 1.47 (исключая) заражены. Это означает, что используемая версия (1.61) не является частью зараженного списка, как утверждает XRay. Существует прямой конфликт междучто говорит XRay, и что говорит NVD.
У меня мало контактов с администратором базы данных уязвимостей XRay. Я попросил их проверить некоторые вещи, но теперь помогу.
Я надеюсь, что кто-то может помочь мне понять, в чем может быть проблема, чтобы я мог передать эту информацию администратору XRay.