JFrog XRay漏洞分析-如何找到建议的升级路径

Question

我正在使用JFrog XRay，它扫描了我们的Artifactory，并在第三方库中发现了一个漏洞，这是我的应用程序的一个缺陷。

从组件扫描中，我单击CVE编号并获取以下信息

**Details**
 Summary [CVE-XXX-YYY] Improper Input Validation
 Type Security
 Severity Critical
 ....
 Infected Component __internal component__
 Source Version 1.2.3 

然而，没有人提出“决议”。例如，“升级到1.2.4”或“升级到2.0.1”。

理想情况下，我不想安装这个组件的所有版本，并单独扫描它们。

在这种情况下，“引用”链接就没有多大帮助了。

任何关于找到安全升级到JFrog X射线中识别的易受攻击组件的正确工作流的建议，在这里都将是非常有用的。

Answer 1

当NVD中报告了新的漏洞时，修复版本并不总是可用的，这就是为什么J蛙X射线并不总是显示它，如果修复版本不可用，选项如下：

1. 如果易受攻击的软件版本有一个范围( 1.2，1.5 )，那么固定版本可以包含1.2之前的任何版本，也可以在1.5之后包含任何版本
2. 如果易受攻击的软件版本在上面有一个开放范围，例如(1.2 )，那么固定版本可以在1.2之前的任何版本中包含
3. 如果易受攻击的软件版本在下面有一个开放范围，例如：(，1.2 )，那么固定版本可以在1.2之后包含任何版本

备注：最好是查找“fixes”字段，在该字段中，如果没有指定修复问题的确切版本，那么上面可以给出一定程度的指导。

只有在源(报告漏洞的地方)有的信息时，才会报告“修复版本”。