jfrog-idea-plugin
jfrog-idea-plugin copied to clipboard
jfrog
Different vulnerabilities for project with CLI and JFrog IntelliJ plugin
Describe the bug I am currently evaluating JFrog XRay and it kind of gives me mixed results. I was in contact with JFrog support as the CLI did not report vulnerabilities for transitive dependencies. That seems to be sorted out with version 2.8.1 of the CLI.
Now I have the problem, that the JFrog IntelliJ plugin gives me different results compared to the CLI output produced with jfrog am for a very simple test project. For me, the output of the CLI seems to be correct. The results in the plugin seem to miss a few vulnerabilities (though the dependencies are listed correctly).
To Reproduce
Run jfrog am for the provided test project and compare it to the vulnerabilities shown for the project in IntelliJ.
Expected behavior
Output of the CLI and IntelliJ should show the same vulnerabilities for the same code.
Screenshots
Vulnerabilities shown in IntelliJ JFrog tool window:
Output of jfrog am:
┌──────────┬───────────────────────────┬──────────┬───────┬──────────────────┬───────────────────────────┬───────────┬────────────────┬──────┬──────┬─────────────┐
│ SEVERITY │ IMPACTED PACKAGE │ IMPACTED │ TYPE │ FIXED VERSIONS │ COMPONENT │ COMPONENT │ CVE │ CVSS │ CVSS │ ISSUE ID │
│ │ │ PACKAGE │ │ │ │ VERSION │ │ V2 │ V3 │ │
│ │ │ VERSION │ │ │ │ │ │ │ │ │
├──────────┼───────────────────────────┼──────────┼───────┼──────────────────┼───────────────────────────┼───────────┼────────────────┼──────┼──────┼─────────────┤
│ High │ commons-collections:commo │ 3.2.1 │ Maven │ [3.2.2] │ commons-collections:commo │ 3.2.1 │ CVE-2016-4372 │ 7.5 │ 9.8 │ XRAY-65665 │
│ │ ns-collections │ │ │ │ ns-collections │ │ CVE-2016-4385 │ 7.5 │ 7.3 │ │
│ │ │ │ │ │ │ │ CVE-2016-4398 │ 6.5 │ 8.8 │ │
│ │ │ │ │ │ │ │ CVE-2015-7501 │ 10.0 │ 9.8 │ │
│ │ │ │ │ │ │ │ CVE-2015-6420 │ 7.5 │ │ │
│ │ │ │ │ │ │ │ CVE-2015-8765 │ 7.5 │ 8.3 │ │
│ │ │ │ │ │ │ │ CVE-2016-4405 │ 6.5 │ 8.8 │ │
│ │ │ │ │ │ │ │ CVE-2016-1985 │ 10.0 │ 10.0 │ │
│ │ │ │ │ │ │ │ CVE-2015-4852 │ 7.5 │ │ │
│ │ │ │ │ │ │ │ CVE-2015-8103 │ 7.5 │ │ │
│ │ │ │ │ │ │ │ CVE-2016-1997 │ 10.0 │ 9.8 │ │
│ │ │ │ │ │ │ │ CVE-2016-4369 │ 6.5 │ 8.8 │ │
│ │ │ │ │ │ │ │ CVE-2016-4373 │ 7.5 │ 9.8 │ │
│ │ │ │ │ │ │ │ CVE-2015-7450 │ 10.0 │ 9.8 │ │
│ │ │ │ │ │ │ │ CVE-2016-1986 │ 7.5 │ 9.8 │ │
│ │ │ │ │ │ │ │ CVE-2016-1998 │ 10.0 │ 9.8 │ │
│ │ │ │ │ │ │ │ CVE-2016-2009 │ 6.5 │ 8.8 │ │
│ │ │ │ │ │ │ │ CVE-2016-1999 │ 10.0 │ 9.8 │ │
│ │ │ │ │ │ │ │ CVE-2015-6934 │ 7.5 │ 7.3 │ │
│ │ │ │ │ │ │ │ CVE-2016-2000 │ 7.5 │ 9.8 │ │
│ │ │ │ │ │ │ │ CVE-2016-2003 │ 7.5 │ 9.8 │ │
│ │ │ │ │ │ │ │ CVE-2016-1114 │ 7.5 │ 9.8 │ │
│ │ │ │ │ │ │ │ CVE-2016-4368 │ 7.5 │ 9.8 │ │
├──────────┼───────────────────────────┼──────────┼───────┼──────────────────┼───────────────────────────┼───────────┼────────────────┼──────┼──────┼─────────────┤
│ High │ commons-collections:commo │ 3.2.1 │ Maven │ [3.2.2] │ commons-collections:commo │ 3.2.1 │ CVE-2017-15708 │ 7.5 │ 9.8 │ XRAY-60226 │
│ │ ns-collections │ │ │ │ ns-collections │ │ │ │ │ │
├──────────┼───────────────────────────┼──────────┼───────┼──────────────────┼───────────────────────────┼───────────┼────────────────┼──────┼──────┼─────────────┤
│ High │ commons-collections:commo │ 3.2.1 │ Maven │ [3.2.2] │ commons-collections:commo │ 3.2.1 │ CVE-2015-7501 │ 10.0 │ 9.8 │ XRAY-60228 │
│ │ ns-collections │ │ │ │ ns-collections │ │ │ │ │ │
├──────────┼───────────────────────────┼──────────┼───────┼──────────────────┼───────────────────────────┼───────────┼────────────────┼──────┼──────┼─────────────┤
│ Medium │ org.springframework:sprin │ 5.3.9 │ Maven │ [5.2.18.RELEASE] │ org.springframework.boot: │ 2.5.4 │ CVE-2021-22096 │ 4.0 │ 4.3 │ XRAY-189875 │
│ │ g-core │ │ │ [5.3.12] │ spring-boot-starter-web │ │ │ │ │ │
├──────────┼───────────────────────────┼──────────┼───────┼──────────────────┼───────────────────────────┼───────────┼────────────────┼──────┼──────┼─────────────┤
│ Medium │ ch.qos.logback:logback-co │ 1.2.5 │ Maven │ [1.2.7] │ org.springframework.boot: │ 2.5.4 │ │ 4.0 │ │ XRAY-81280 │
│ │ re │ │ │ │ spring-boot-starter-web │ │ │ │ │ │
├──────────┼───────────────────────────┼──────────┼───────┼──────────────────┼───────────────────────────┼───────────┼────────────────┼──────┼──────┼─────────────┤
│ Medium │ ch.qos.logback:logback-co │ 1.2.5 │ Maven │ [1.2.6] │ org.springframework.boot: │ 2.5.4 │ │ 4.0 │ 5.5 │ XRAY-121270 │
│ │ re │ │ │ [1.3.0-alpha7] │ spring-boot-starter-web │ │ │ │ │ │
├──────────┼───────────────────────────┼──────────┼───────┼──────────────────┼───────────────────────────┼───────────┼────────────────┼──────┼──────┼─────────────┤
│ Medium │ org.apache.tomcat.embed:t │ 9.0.52 │ Maven │ [8.5.72] │ org.springframework.boot: │ 2.5.4 │ CVE-2021-42340 │ 5.0 │ 7.5 │ XRAY-187429 │
│ │ omcat-embed-websocket │ │ │ [9.0.54] │ spring-boot-starter-web │ │ │ │ │ │
│ │ │ │ │ [10.0.12] │ │ │ │ │ │ │
│ │ │ │ │ [10.1.0-M6] │ │ │ │ │ │ │
└──────────┴───────────────────────────┴──────────┴───────┴──────────────────┴───────────────────────────┴───────────┴────────────────┴──────┴──────┴─────────────┘
Versions
- JFrog IDEA plugin version: 1.12.0 on IntelliJ 2021.3
- Operating system: macOS 11.6
- Xray version: 3.33.5
- JFrog CLI version: 2.8.1
Additional context
Test project (Maven): test-project.zip
@MichiKurz,
Thanks for reporting this issue!
There is an issue on JFrog Xray < 3.35.0 using with JFrog IDEA plugin >= 1.10.0 whereby all vulnerabilities belonged to the first component. In your case, you can see that commons-collections:commons-collections:3.2.1 contains 7 vulnerabilities in the Intellij IDEA plugin, however, 4 of them should belong to org.springframework.boot:spring-boot-starter-web:2.5.4.
This issue is resolved in JFrog Xray 3.35.0 and above - feel free to upgrade your Xray version. Please let me know if that helped.
