JFrog XRay 漏洞分析 - 如何找到建议的升级路径

Question

我正在使用 JFrog XRay，它扫描了我们的 Artifactory 并在第三方库中发现了一个漏洞，这是我的应用程序的依赖项。

从组件扫描中，我单击 CVE 编号并获取此信息

**Details**
 Summary [CVE-XXX-YYY] Improper Input Validation
 Type Security
 Severity Critical
 ....
 Infected Component __internal component__
 Source Version 1.2.3 

但是没有建议的“解决方案”。例如，“升级到 1.2.4”或“升级到 2.0.1”。

理想情况下，我不想安装此组件的所有版本并单独扫描它们。

在这种情况下，“参考”链接没有那么有用。

任何有关找到安全升级到 JFrog Xray 中确定的易受攻击组件的正确工作流程的建议都将在此处提供最大帮助。

Answer 1

当 NVD 报告新漏洞时，修复版本并不总是可用，这就是 Jfrog Xray 并不总是显示它的原因，如果修复版本不可用，选项有：

1. 如果易受攻击的软件版本有一个范围 (1.2,1.5]，则固定版本可以包含 1.2 之前的任何版本或 1.5 之后的任何版本

2. 如果易受攻击的软件版本具有上述开放范围，例如 (1.2,)，则固定版本可以是 1.2 之前的任何版本并包括

3. 如果易受攻击的软件版本具有以下开放范围，例如：(,1.2)，则修复版本可以是 1.2 之后的任何版本并包含

注意：最好查找“修复版本”字段，在该字段中准确指定修复问题的版本 如果没有指定，以上可以提供一定程度的指导。

Jfrog Xray 仅当信息在源（报告漏洞的位置）上可用时才会报告“修复版本”