扫描结果缺失部分组件版本内容 #320
Description
我有一个前端的js项目使用docker镜像进行扫描
opensca/opensca-cli ruby
json结果文件获取的位置为:
"name": "mermaid",
"purl": "pkg:npm/mermaid@11.11.0"
"purl": "pkg:npm/@mermaid-js/parser@0.6.2"
"pkg:npm/mermaid@11.11.0",
"ref": "pkg:npm/mermaid@11.11.0",
"pkg:npm/@mermaid-js/parser@0.6.2",
"ref": "pkg:npm/@mermaid-js/parser@0.6.2",
同时我在项目的目录下还有一个package.json文件。 在这个文件中我引用了 "mermaid": "^11.9.0"
最终报告中并没有 "mermaid": "^11.9.0"。而是npm下的pkg:npm/mermaid@11.11.0"
但是实际上存在安全漏洞的版本是"mermaid": "^11.9.0" 他存在一个xss漏洞,我在我的项目下可以复现成功。所以我查询了SCA的分析报告,最终发现了这个问题。
我想了解它是否会分析package.json文件中引用的内容,如果会分析为什么没有在最终结果中进行显示,谢谢。