Prisma Cloud Compute: Warum ist der "Fix-Status" für einige NVD-CVEs leer, obwohl ein Fix verfügbar ist?

• Im Allgemeinen beziehen wir für Anwendungs-CVEs und JAR-CVEs die Daten von NVD.
• NVD hat kein Statusfeld und stellt keine festen Versionen bereit, sondern nur betroffene Versionen.

• Für NVD versuchen wir unser Bestes, um einen Fix-Status basierend auf den betroffenen Versionen und der Beschreibung zu analysieren .
  • Für die Beschreibung:
    • In der Beschreibung suchen wir nach bestimmten Phrasen wie "fest in x"
  • Für betroffene Versionen:
    • Wenn wir in den Bedingungen der betroffenen Version etwas wie <x sehen, können wir davon ausgehen, dass x eine feste Version ist, und einen darauf basierenden Status ausfüllen.
    • Wenn wir unter Bedingungen betroffener Versionen nur betroffene Versionen sehen (<=x oder Bis zu (einschließlich) x, wie NVD sie auflistet), können wir keine Annahmen über die korrigierte Version treffen.
    • Wenn wir zum Beispiel <=1.9.13 sehen, wissen wir nicht, ob die Fix-Version 1.9.14 oder 2.0 ist oder ob es überhaupt eine gibt.

Da wir auf der Grundlage der Daten, die uns die NVD liefert, keinen fixen Status parsen können und wir keine falschen Annahmen treffen wollen, bleibt der Status leer.

Dies ist das erwartete Verhalten für NVD-CVEs, bei denen die Fixversion nicht klar ist.