升级x射线与CVSS v3支持
当升级到Xray 3.21.2版本时,使用新的CVSS v3.0评分,所有现有的策略和规则将保持不变。x射线将不会重新扫描现有工件。只有新的工件将被扫描并接收新的CVSS v3.0评分和严重性级别。
如果使用新的工件、图像等2022世界杯阿根廷预选赛赛程更新现有资源,则将根据新的评分和严重性扫描新数据。当发现新的漏洞(严重程度为Critical),并且现有的策略规则的严重程度设置为High时,将创建严重程度为Critical的违规。现有的漏洞不会受到影响,只有发现的新漏洞才会根据CVSS v3.0评分进行设置。
更新现有政策
可以更新现有策略以支持新的Critical严重性级别更新策略REST API。
在离线模式下升级Xray与CVSS v3.0支持
如果您在脱机模式下工作,则需要手动同步数据库以下载漏洞并启用CVSS v3.0评分。
做到以下几点:
- 在政府模块,转到x射线安全与合规并选择数据库同步。
- 选择离线同步模式,点击生成下载命令。
生成的命令如下所示:
jfrog xr offline-update——license-id=
——version= 如果命令包含
从
和来
参数,删除它们,使命令看起来像上面的例子。复制命令并在CLI中运行。
例如,解压缩漏洞文件,
vuln_ -{号码}. zip
。它包含两个其他zip文件:o
nboardingf__vulnR1_XX__.zip
onboardingf__vulnS1_X__.zip
将两个下载的zip文件从DMZ环境复制到Xray服务器。所需的权限是770。
$ {XRAY_HOME} / var /工作/服务器/更新/ data_migration / cvss_v3_files /
触发CVSS v3.0漏洞持久性迁移:
[文章]< XRAY_URL > / api / v1 / /触发/ cvss_v3_vulnerabilities迁移
使用迁移状态REST API以监控CVSS v3.0升级过程。要了解有关运行Xray命令的更多信息,请参见x射线REST API。
迁移完成后,状态将设置为enabled_finished
。如果迁移是在Artifactory升级到受支持的版本(Artifactory 7.17及以上版本)之前执行的,则状态将设置为vuln_finished
。如果其他状态包含失败信息,请检查日志或联系JFrog的客户支持。[有]< XRAY_URL > / api / v1 /迁移/ cvssV3 /状态
样品反应:
{"status": "enable_finished", "status_msg": "CVSS V3 enable migration finished successfully"}