Prisma Cloud Compute:修正が利用可能であるにもかかわらず、一部のNVD CVEで「修正ステータス」が空になるのはなぜですか?

• 一般に、アプリケーション CVE と jar CVE の場合、NVD からデータを調達します。
• NVDにはステータスフィールドがなく、固定バージョンは提供されず、影響を受けるバージョンのみが提供されます。

• NVD については、 影響を受けるバージョン と説明に基づいて修正ステータスを解析するために最善を尽くします 。
  • 説明については、次のようにします。
    • 説明では、「fixed in x」のような特定のフレーズを探します
  • 影響を受けるバージョンの場合:
    • 影響を受けるバージョンの状況では、<x のようなものが表示された場合、 x は修正バージョンであると想定し、それに基づいてステータスを埋めることができます。
    • 影響を受けるバージョンの条件では、影響を受けるバージョン (NVD にリストされている <=x または x まで (含む) ) のみが表示されている場合、修正バージョンについて推測することはできません。
    • たとえば、 <=1.9.13 と表示されている場合、修正バージョンが 1.9.14 なのか 2.0 なのか、それともそもそもあるのかはわかりません。

NVDが提供するデータに基づいて修正ステータスを解析することはできず、誤った仮定をしたくないため、ステータスは空白のままです。

これは、修正バージョンが明確でないNVD CVEで想定される動作です。