漏洞上下文分析

概述

JFrog Security和JFrog研究团队在增强安全性方面的持续努力引入了一项额外的功能:漏洞上下文分析。JFrog Xray之前发布了一个强大的功能JFrog安全CVE研究与充实特性，可以帮助您增强对CVE发现的分析以一种能让你专注于最重要问题的方式有能力找到最好的资源来修复它们。2022世界杯阿根廷预选赛赛程漏洞上下文分析是该功能的扩展，确保Xray的分析结果尽可能集中。

这个问题

当x射线扫描您的包时，它可能会发现数千个漏洞。因此，开发人员将不得不筛选这些漏洞的长列表以确定它们的相关性，并且在某些情况下，很难确定从哪里开始，因为许多这些漏洞可能不会影响您的工件。这个过程是错误且耗时的。

解决方案

漏洞上下文分析使用工件上下文来消除不适用的漏洞的假阳性报告。此过程涉及在容器顶部运行的自动扫描程序，以查找已分析漏洞的可达路径。Xray自动验证一些高影响和非常高影响的漏洞，例如具有利用先决条件的漏洞，并提供这些漏洞的上下文分析信息，以帮助您确定哪些漏洞适用于特定工件。

脆弱性上下文分析的好处是什么?

以攻击者的方式分析完成的代码。了解哪些问题是可利用的，以及它们的潜在影响。
在完整工件的上下文中(也在构建包或发布包中)测试问题。
在实际工件、构建或发布包的上下文中启用操作和修正。

关于上下文分析功能的重要细节:

仅支持Docker和OCI包。
涵盖数百个cve，支持Java, JavaScript, Python和编译的二进制文件(Native和Golang)。

JFrog订阅级别

云(SaaS)

_企业X

_企业+

_{与先进DevSecOps}

页面内容

它是如何工作的?

启用/禁用上下文分析

默认情况下，对于所有标记为Xray索引的资源中的新工件，漏洞上下文分析是禁用的。2022世界杯阿根廷预选赛赛程要启用，请执行以下操作:

导航到的政府模块，转到x光|设置|常规并点击索引资源。2022世界杯阿根廷预选赛赛程
选择存储库或构建并选择配置。
启用漏洞上下文分析选择。

上下文分析仅应用于新扫描，而不适用于现有扫描。分析将在索引资源上运行，但是，它不会在Index Artifact2022世界杯阿根廷预选赛赛程s History上运行。有关更多信息，请参见索引x射线资源2022世界杯阿根廷预选赛赛程。

请注意，在某些情况下，由于涉及深度扫描，扫描可能需要更长的时间才能完成。

上下文分析状态和结果

一旦工件在Xray中被索引为单个上传、构建或发布包的一部分，Xray将验证工件是否包含被认为具有非常高影响的漏洞。如果发现此类漏洞，Xray将运行上下文分析并检索上下文分析结果。结果包括以下内容:

漏洞上下文分析状态

不适用:该漏洞不适用
适用的:该漏洞适用
Undetermined—未触发:管理员需要启用该特性。
待定-分析正在进行中:如果Xray正在分析该漏洞的适用性，则在漏洞详情中显示为分析正在进行中。
Undetermined—不确定的: Xray无法确定该漏洞是否适用。
不确定-没有扫描仪:此漏洞的适用性扫描程序不可用。

漏洞上下文分析结果

上下文分析结果可以从扫描列表。

REST API支持

上下文分析特性支持以下REST api:

获取每个漏洞的上下文分析
工件的总结—新增各版本的适用性信息。
建设总结—新增各版本的适用性信息。
得到违反-在每个违规项中添加适用性信息。
被忽略的违规行为列表-在每个违规项中添加适用性信息。
扫描构建V1—在每个告警中添加适用性信息。
获取存储库配置:新增参数vuln_contextual_analysis：真或假。只有启用了特性，并且可以根据每个存储库启用或禁用它。
更新存储库配置-添加了选项，以启用或禁用上下文分析每个存储库的参数vuln_contextual_analysis：是真还是假。

内容

空间工具