升级x射线CVSS v3支持
升级到Xray版本3.21.2时,使用新的CVSS v3.0评分,所有现有的策略和规则将保持不变。x射线将不会重新扫描现有的工件。只有新的工件将被扫描并接收新的CVSS v3.0评分和严重级别。
如果使用新的工件、图像等2022世界杯阿根廷预选赛赛程更新现有资源,则将根据新的评分和严重程度扫描新数据。当发现具有严重级别的新漏洞,并且现有的策略规则设置为严重级别时,将以严重级别创建违规行为。现有的漏洞不会受到影响,只会根据CVSS v3.0分数设置新发现的漏洞。
更新已有策略
属性可将现有策略更新为支持新的“严重”严重级别更新策略REST API。
离线模式下升级CVSS v3.0支持的x射线
如果您在脱机模式下工作,则需要手动同步数据库以下载漏洞并启用CVSS v3.0评分。
做以下几点:
- 在政府模块,转到x射线安全性和合规性并选择数据库同步。
- 选择离线同步模式,单击生成下载命令。
生成的命令如下所示:
jfrog xr offline-update——license-id=
——version= 如果命令包含
从
而且来
参数,删除它们,使命令看起来像上面的例子。拷贝命令并在CLI中运行。
例如,解压缩漏洞文件,
vuln_ -{号码}. zip
.它包含两个其他zip文件:o
nboardingf__vulnR1_XX__.zip
onboardingf__vulnS1_X__.zip
将下载的两个zip文件从DMZ环境复制到Xray服务器。所需权限为770。
$ {XRAY_HOME} / var /工作/服务器/更新/ data_migration / cvss_v3_files /
触发CVSS v3.0漏洞持久性迁移:
[文章]< XRAY_URL > / api / v1 / /触发/ cvss_v3_vulnerabilities迁移
使用迁移状态REST API监控CVSS v3.0升级过程。有关运行x射线命令的详细信息,请参见Xray REST API.
一旦迁移完成,状态将被设置为enabled_finished
.如果迁移是在Artifactory升级到支持的版本(Artifactory 7.17及以上版本)之前执行的,则状态将被设置为vuln_finished
.如果出现任何其他包含故障信息的状态,请检查日志并联系JFrog的客户支持。[有]< XRAY_URL > / api / v1 /迁移/ cvssV3 /状态
样品反应:
{"status": "enable_finished", "status_msg": "CVSS V3 enable migration finished successfully"}