漏洞严重性级别

GitLab 漏洞分析器会尽可能尝试返回漏洞严重性级别。以下是可用的 GitLab 漏洞严重性级别列表,从最严重到最不严重排列:

  • Critical
  • High
  • Medium
  • Low
  • Info
  • Unknown

大多数 GitLab 漏洞分析器都是流行的开源扫描工具的包装。每个开源扫描工具都提供自己本身的漏洞严重性级别的值。如下表所述:

原生漏洞严重性级别类型 示例
String WARNING, ERROR, Critical, Negligible
Integer 1, 2, 5
CVSS v2.0 Rating (AV:N/AC:L/Au:S/C:P/I:P/A:N)
CVSS v3.1 Qualitative Severity Rating CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

为了提供一致的漏洞严重性级别值,GitLab 漏洞分析器将上述值转换为标准化的 GitLab 漏洞严重性级别,如下表所述:

SAST

GitLab 分析器 输出严重性级别? 原生严重性级别类型 原生严重性级别示例
security-code-scan Yes String CRITICAL, HIGH, MEDIUM(分析器版本为 3.2.0 或更高)。在早期版本中,硬编码为 Unknown
brakeman Yes String HIGH, MEDIUM, LOW
sobelow Yes N/A 硬编码所有安全性级别为 Unknown
nodejs-scan Yes String INFO, WARNING, ERROR
flawfinder Yes Integer 0, 1, 2, 3, 4, 5
eslint Yes N/A 硬编码所有安全性级别为 Unknown
SpotBugs Yes Integer 1, 2, 3, 11, 12, 18
gosec Yes String HIGH, MEDIUM, LOW
bandit Yes String HIGH, MEDIUM, LOW
phpcs-security-audit Yes String ERROR, WARNING
pmd-apex Yes Integer 1, 2, 3, 4, 5
kubesec Yes String CriticalSeverity, InfoSeverity
secrets Yes N/A 硬编码所有安全性级别为 Critical
semgrep Yes String error, warning, note, none

Dependency Scanning

GitLab 分析器 输出严重性级别? 原生严重性级别类型 原生严重性级别示例
gemnasium Yes CVSS v2.0 Rating 和 CVSS v3.1 Qualitative Severity Rating 1 (AV:N/AC:L/Au:S/C:P/I:P/A:N), CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  1. CVSS v3.1 Rating 用于计算严重性级别。如果它不可用,则使用 CVSS v2.0 Rating。

Container Scanning

GitLab 分析器 输出严重性级别? 原生严重性级别类型 原生严重性级别示例
container-scanning Yes String Unknown, Low, Medium, High, Critical

模糊测试

所有模糊测试结果都报告为未知,您应该对它们进行手动审核和分类,找到可利用的故障并优先修复。