DependencyTrack项目中NVD已知受影响软件配置同步问题分析

问题背景

在DependencyTrack项目中，发现了一个关于NVD（国家漏洞数据库）数据同步的重要问题。具体表现为系统未能正确同步或更新已知受影响软件配置信息，导致某些问题无法被正确识别和匹配。

问题现象

以CVE-2024-23113问题为例，在NVD官方数据库中，该问题列出了多个受影响的产品版本，包括FortiProxy、FortiSwitchManager、FortiOS和FortiPAM等产品的多个版本范围。然而在DependencyTrack系统中，同步后的数据却缺失了部分产品信息，特别是操作系统类型(类型为"o")的CPE条目。

这种数据缺失导致了一个严重后果：当项目中添加了匹配缺失CPE的组件时，系统无法正确识别该组件存在相关问题。例如，添加一个CPE为cpe:2.3:o:fortinet:fortios:7.0.12:*:*:*:*:*:*:*的组件时，系统不会标记该组件存在CVE-2024-23113问题。

技术分析

经过深入分析，发现问题根源在于NVD数据解析逻辑中的条件判断存在缺陷。在ModelConverter.java文件中，处理节点操作符的逻辑本应检查是否为AND操作，但实际上却检查了OR操作。这种错误的判断条件导致系统在处理某些类型的CPE配置时过滤掉了有效数据。

具体来说，系统在处理NVD API返回的配置数据时，对于包含多个产品类型（如应用程序和操作系统）的问题信息，未能正确处理这些信息之间的关系。NVD API返回的数据结构包含一个OR数组，其中同时包含应用程序和操作系统的条件，但解析逻辑未能正确识别这种结构。

解决方案

修复方案主要涉及修改节点操作符的判断逻辑。将原本检查OR操作的条件改为检查AND操作，确保系统能够正确处理NVD API返回的各种配置数据结构。

此外，为了验证修复效果，开发团队添加了专门的测试用例，使用实际问题数据（如CVE-2024-23113）来验证系统现在能够正确同步所有类型的受影响产品信息，包括操作系统类型的CPE条目。

影响范围

该问题影响了使用CPE匹配进行问题识别的准确性，特别是在涉及操作系统类型问题的场景下。对于依赖DependencyTrack进行软件成分分析和问题管理的用户，这意味着某些实际存在的问题可能未被系统识别，导致潜在的安全风险被忽视。

修复版本

该修复已计划包含在DependencyTrack 4.13版本中。考虑到问题的重要性，开发团队还决定将其反向移植到4.12.2版本，以便现有用户能够尽快获得修复。

总结

这个案例展示了开源安全工具在处理复杂问题数据时面临的挑战。正确解析和同步问题数据库信息对于确保软件成分分析的准确性至关重要。DependencyTrack团队通过仔细分析NVD数据结构、修正解析逻辑并添加验证测试，有效解决了这一问题，提高了系统的问题识别能力。