Prisma Cloud Compute：为什么某些 NVD CVE 的“修复状态”为空，尽管有可用的修复程序？

• 通常，对于应用程序 CVE 和 jar CVE，我们从 NVD 获取数据。
• NVD 没有任何状态字段，它们不提供任何固定版本，只提供受影响的版本。

• 对于 NVD，我们会尽力根据 受影响的版本 和描述来解析修复状态 。
  • 对于描述：
    • 在描述中，我们寻找某些短语，例如“fixed in x”
  • 对于受影响的版本：
    • 在受影响的版本条件下，如果我们看到类似 <x 的内容，那么我们可以假设 x 是修复版本，并基于此填充状态。
    • 在受影响的版本条件下，如果我们只看到受影响的版本（NVD 列出的 <=x 或 最高（包括）x ），则无法对修复版本做出假设。
    • 例如，如果我们看到 <=1.9.13 ，我们不知道修复版本是 1.9.14 还是 2.0 ，或者根本没有。

由于我们无法根据 NVD 提供给我们的数据解析修复状态，并且我们不想做出任何错误的假设，因此状态留空。

这是修复版本不明确的 NVD CVE 的预期行为。