こんにちは。
JFrogのXRayスキャナーから、Discourseバージョン2.0.20240904-0335のベースイメージに3つのパッケージに悪意のあるコードが含まれているというレポートを受け取りました。
少し調査したところ、https://vulert.comで報告されているのと同じ名前とバージョンの3つのパッケージが見つかりました。
(投稿にはリンクを2つしか貼れないため、コメントに追加します)
以前にも同様の問題に直面したことはありますか?これらはDiscourseまたは他のパッケージからの発見ですか?npm.jsでは報告されているパッケージが見つかりませんでした。
よろしくお願いいたします🙏
dialog-holder:1.0.0: dialog-holder (npm) に含まれる悪意のあるコード (vulert.com) および OSV on github のデータ にリンク
float-kit:1.0.0: float-kit (npm) に含まれる悪意のあるコード (vulert.com) および github の OSV からのデータ にリンク
custom-proxy:1.0.0: custom-proxy (npm) の悪意のあるコード (vulert.com) および github の OSV からのデータ にリンク
JFrog でも同様のことがありました。これは、スコープのないパッケージのあいまいな名前であり、実際の問題ではないようです。
Discourse には リポジトリに float-kit というパッケージがありますが、それは npmjs の float-kit とは全く関係ありません。他のものも基本的に同じです。
理想的には、これらのローカルパッケージもスコープされるべきですが、ワークスペースから参照されているため、1.0.0 は独自のレポジトリから取得されます。
私が確認したところ、プロビナンスのプッシュはなく、JFrog は多くの場合、名前とバージョンを確認するだけなので、これはコントロールによる誤検知処理プロセスに該当するはずです。