漏洞报告

漏洞报告提供有关默认分支扫描的漏洞信息。包含所有成功作业的累积结果,无论流水线是否成功。

流水线中的扫描结果仅在流水线中的所有作业完成后才会被提取。可以在流水线安全选项卡中查看具有正在进行的作业的流水线的部分结果。

该报告可用于项目、群组和安全中心。

在所有级别,漏洞报告都包含:

  • 每个严重级别的漏洞总数。
  • 常见漏洞属性的过滤器。
  • 每个漏洞的详细信息,以表格布局显示。

活动 列包含针对该行中的漏洞采取的活动(如果有):

  • 议题:指向为漏洞创建的议题的链接。
  • 修复:漏洞已得到修复。
  • 误报:扫描程序确定此漏洞为误报。

Example project-level Vulnerability Report

项目级漏洞报告

项目级漏洞报告还包含:

  • 显示更新时间的时间戳,包括指向最新流水线的链接。
  • 最近流水线中发生的故障数。选择失败通知,查看流水线页面的 失败的作业 选项卡。

查看项目级漏洞报告

查看项目级漏洞报告:

  1. 在顶部栏上,选择 主菜单 > 项目 并找到您的项目。
  2. 在左侧边栏,选择 安全与合规 > 漏洞报告

漏洞报告操作

在漏洞报告中,您可以:

漏洞报告过滤器

您可以通过以下方式过滤漏洞表:

过滤器 可用选项
状态 Detected、Confirmed、Dismissed、Resolved。
严重程度 Critical、High、Medium、Low、Info、Unknown。
工具 获取更多信息,查看工具过滤器
项目 获取更多信息,查看项目过滤器
活动 获取更多信息,查看活动过滤器

过滤器的标准组合在一起,仅显示符合所有标准的漏洞,活动过滤器例外。有关其工作原理的更多详细信息,请参阅活动过滤器

过滤漏洞列表

过滤漏洞列表:

  1. 选择一个过滤器。
  2. 从下拉列表中选择值。
  3. 对每个所需的过滤器重复上述步骤。

选择每个过滤器后:

  • 匹配漏洞列表已更新。
  • 漏洞严重性总计已更新。

工具过滤器

工具过滤器允许您专注于选定检测到漏洞的工具。

使用工具过滤器时,您可以选择:

  • 所有工具(默认)。
  • 极狐GitLab 提供的工具。
  • 任何集成的第三方工具。引入于 13.12 版本。

有关每个可用工具的详细信息,请参阅安全扫描工具

项目过滤器

项目过滤器的内容取决于当前级别:

级别 项目过滤器的内容
安全中心 仅限您添加到个人安全中心的项目。
群组级别 群组中的所有项目。
项目级别 不适用。

活动过滤器

活动过滤器的行为与其他过滤器不同。选定的值形成互斥集,允许精确定位所需的漏洞记录。此外,并非所有选项都可以组合选择。

使用活动过滤器时的选择行为:

活动选择 结果显示
所有 具有任何活动状态的漏洞(与忽略此过滤器相同)。选择此选项会取消选择任何其他活动过滤器选项。
无活动 仅没有相关议题或不再检测到的漏洞。选择此选项会取消选择任何其他活动过滤器选项。
有议题 只有具有一个或多个相关议题的漏洞。不包括不再检测到的漏洞。
不再检测 只有在 default 分支的最新流水线扫描中不再检测到的漏洞。不包括具有一个或多个相关议题的漏洞。
有议题且不再检测 只有具有一个或多个相关议题并且在 default 分支的最新流水线扫描中不再检测到的漏洞。

查看漏洞的详细信息

要查看漏洞的更多详细信息,请选择漏洞的 描述漏洞详情页面打开。

查看易受攻击的源位置

引入于 13.10 版本

一些安全扫描程序会输出潜在漏洞的文件名和行号。当该信息可用时,漏洞的详细信息会在默认分支中包含指向相关文件的链接。

要查看相关文件,请在漏洞详细信息中选择文件名。

查看针对漏洞提出的议题

活动 列展示为漏洞创建的议题数量。 将鼠标悬停在 活动 条目上,然后选择指向该议题的链接。议题是开放还是关闭的状态也显示在悬停菜单中。

Display attached issues

如果启用了 Jira 议题支持,活动条目中的议题链接将链接到 Jira 中的议题。与极狐GitLab 议题不同,Jira 议题是打开还是关闭的状态不会显示在 GitLab UI 中。

更改漏洞状态

引入于 13.10 版本,所有状态可选。

从漏洞报告中,您可以更改一个或多个漏洞的状态。

要更改表格中的漏洞状态:

  1. 选中您要更新其状态的每个漏洞旁边的复选框。要全选,请选中表格标题中的复选框。
  2. 设置状态 下拉列表中,选择所需的状态。
  3. 选择 更改状态

Project Vulnerability Report

忽略漏洞

当您评估一个漏洞,并决定不需要对其执行更多操作时,您可以将其标记为 已忽略。在未来的扫描中检测到被忽略的漏洞时,不会出现在合并请求安全部件中。

忽略漏洞时,会记录以下内容:

  • 谁忽略了此漏洞。
  • 漏洞被忽略的日期和时间。
  • (可选)漏洞被忽略的原因。

漏洞记录无法删除,因此始终保留永久记录。

如果漏洞被错误地忽略,请更改其状态。

按日期对漏洞进行排序

默认情况下,漏洞按严重性级别排序,最严重的漏洞列在顶部。

要按检测到每个漏洞的日期对漏洞进行排序,请单击 “检测到” 列标题。

导出漏洞详细信息

您可以导出漏洞报告中列出的漏洞的详细信息。导出格式为 CSV(逗号分隔值)。请注意,所有漏洞都包括在内,因为过滤器不适用于导出。

包括的字段是:

  • 群组名称
  • 项目名称
  • 扫描器类型
  • 扫描器名称
  • 状态
  • 漏洞
  • 详细信息
  • 更多信息
  • 严重级别
  • CVE (Common Vulnerabilities and Exposures)
  • CWE (Common Weakness Enumeration)
  • 其它标识符
  • 检测时间
  • 位置
  • 活动
  • 评论

以 CSV 格式导出详细信息

要导出漏洞报告中列出的所有漏洞的详细信息,请选择 导出

从数据库中检索详细信息,然后将 CSV 文件下载到您的本地计算机。

note如果您的项目包含数千个漏洞,则可能需要几分钟才能开始下载。在下载完成之前不要关闭页面。

忽略漏洞操作

您可以忽略整个项目的漏洞:

  1. 在安全仪表盘中选择漏洞。
  2. 在右上角的 状态 选择器菜单中,选择 已忽略
  3. 可选。添加忽略原因并选择 保存评论

要撤消此操作,请从同一菜单中选择不同的状态。

手动添加漏洞发现

引入于 14.9 版本。默认禁用。 功能标志 new_vulnerability_form 删除于 15.0 版本。

默认情况下不启用此功能。要使其可用,请要求管理员启用功能标志,名为 new_vulnerability_form。在 SaaS 上,此功能不可用。

要从您的项目级漏洞报告页面添加新的漏洞发现:

  1. 在顶部栏上,选择 主菜单 > 项目 并找到您的项目。
  2. 在左侧边栏,选择 安全与合规 > 漏洞报告
  3. 点击 提交漏洞
  4. 填写字段并提交表格。

您将被带到新创建的漏洞的详细信息页面。手动创建的记录显示在群组、项目和安全中心漏洞报告中。要过滤它们,请使用通用工具过滤器。

运营漏洞

引入于 14.6 版本

运营漏洞选项卡列出了由 cluster_image_scanner 发现的漏洞。 此选项卡显示在项目、群组和安全中心漏洞报告上。

Operational Vulnerability Tab