云客户?
免费开始>
在MyJFrog >中升级
云有什么新>





概述

从Xray版本3.21.2开始,Xray支持CVSS v3.0评分。这将确保Xray对漏洞的评分是最新的,并提供最新的普遍标准漏洞严重等级。

该特性需要Artifactory 7.17.4及以上版本。

x射线CVSS评分和严重性

x光从两个来源收集分数和严重程度:

  • NVD:国家漏洞数据库(National Vulnerability Database, NVD),包含已知的漏洞及其CVSS评分。

  • 安全咨询:一些开源操作系统有自己的安全跟踪器,可以进一步分析操作系统包内的漏洞。

Xray发送一个根据NVD或OS Packages Security advisaries设置的严重性字段。操作系统包安全警告还可能提供它们自己的严重程度和漏洞的CVSS评分,当在其操作系统级包中识别时,如确定操作系统包的问题严重级别

此严重程度现在由NVD或安全顾问委员会提供的CVSS v3.0评分确定。x射线将继续支持CVSS v2.0分数在CVSS v3.0分数之上。如果CVSS v3.0分数不可用,x射线将使用CVSS v2.0分数代替。

评分范围和严重程度

漏洞的评分范围为0-10,漏洞的严重程度如下:

CVSS v2.0评级

CVSS v3.0评级

严重程度

基础得分范围

严重程度

基础得分范围



没有一个 0.0
0.0 - -3.9 0.1 - -3.9
媒介 4.0 - -6.9 媒介 4.0 - -6.9
7.0 - -10.0 7.0 - -8.9


至关重要的 9.0 - -10.0


您可以根据CVSS v3.0评分和严重程度设置安全规则,以触发违规行为创建x射线策略和规则

页面内容



升级x射线CVSS v3支持

升级到Xray版本3.21.2时,使用新的CVSS v3.0评分,所有现有的策略和规则将保持不变。x射线将不会重新扫描现有的工件。只有新的工件将被扫描并接收新的CVSS v3.0评分和严重级别。

如果使用新的工件、图像等2022世界杯阿根廷预选赛赛程更新现有资源,则将根据新的评分和严重程度扫描新数据。当发现具有严重级别的新漏洞,并且现有的策略规则设置为严重级别时,将以严重级别创建违规行为。现有的漏洞不会受到影响,只会根据CVSS v3.0分数设置新发现的漏洞。

更新已有策略

属性可将现有策略更新为支持新的“严重”严重级别更新策略REST API。


离线模式下升级CVSS v3.0支持的x射线

如果您在脱机模式下工作,则需要手动同步数据库以下载漏洞并启用CVSS v3.0评分。

做以下几点:

  1. 政府模块,转到x射线安全性和合规性并选择数据库同步。
  2. 选择离线同步模式,单击生成下载命令。
  3. 生成的命令如下所示:

    jfrog xr offline-update——license-id=——version=

    如果命令包含而且参数,删除它们,使命令看起来像上面的例子。

  4. 拷贝命令并在CLI中运行。

  5. 例如,解压缩漏洞文件,vuln_ -{号码}. zip.它包含两个其他zip文件:

    1. onboardingf__vulnR1_XX__.zip

    2. onboardingf__vulnS1_X__.zip

  6. 将下载的两个zip文件从DMZ环境复制到Xray服务器。所需权限为770。

    $ {XRAY_HOME} / var /工作/服务器/更新/ data_migration / cvss_v3_files /
  7. 触发CVSS v3.0漏洞持久性迁移:

    [文章]< XRAY_URL > / api / v1 / /触发/ cvss_v3_vulnerabilities迁移


  8. 使用迁移状态REST API监控CVSS v3.0升级过程。有关运行x射线命令的详细信息,请参见Xray REST API
    一旦迁移完成,状态将被设置为enabled_finished.如果迁移是在Artifactory升级到支持的版本(Artifactory 7.17及以上版本)之前执行的,则状态将被设置为vuln_finished.如果出现任何其他包含故障信息的状态,请检查日志并联系JFrog的客户支持。

    [有]< XRAY_URL > / api / v1 /迁移/ cvssV3 /状态

    样品反应:

    {"status": "enable_finished", "status_msg": "CVSS V3 enable migration finished successfully"}
  • 没有标签
版权所有©2022 JFrog Ltd.