漏洞页面
引入于 13.0 版本。
项目中的每个漏洞都有一个漏洞页面,此页面包含漏洞的详细信息,包含的详细信息因漏洞类型而异,每个漏洞的详细信息包括:
- 描述
- 何时被检测到
- 当前状态
- 可用操作
- 关联议题
- 操作日志
在 14.3 及更高版本中,如果扫描程序确定漏洞为误报,则会在漏洞页面的顶部包含一条警报消息。
在漏洞页面上,您可以:
- 更改漏洞状态。
- 创建一个议题。
- 关联议题到漏洞。
- 解决一个漏洞,如果有可用的解决方法。
- 查看特定于检测到的漏洞的安全培训。
漏洞状态值
漏洞的状态可以是以下之一:
状态 | 描述 |
---|---|
Detected | 新发现的漏洞的默认状态。在 UI 中显示为 “需要分类”。 |
Confirmed | 用户已看到此漏洞并确认它是准确的。 |
Dismissed | 用户已看到此漏洞并忽略它,因为它不准确或无法解决。 |
Resolved | 该漏洞已修复或不再存在。 |
如果在后续扫描中检测到被忽略的漏洞,则会被忽略。后续扫描重新引入和检测到的已解决漏洞会创建一个新漏洞记录。当在项目的 default
分支中不再检测到现有漏洞时,您应该将其状态更改为已解决,确保如果它在将来的合并中意外重新引入,它将作为新记录再次可见。
更改漏洞状态
要从漏洞页面更改漏洞状态:
- 在顶部栏上,选择 主菜单 > 项目 并找到您的项目。
- 在左侧边栏,选择 安全与合规 > 漏洞报告。
- 选择漏洞的描述。
- 从 状态 下拉列表中选择一个状态,然后选择 更改状态。
- (可选)在页面底部,向日志条目添加评论。
操作日志记录每个状态更改、由哪个用户更改了状态以及更改时间。
为漏洞创建议题
您可以从漏洞页面创建议题,跟踪为解决或缓解该漏洞而采取的所有操作。
您可以创建:
- 一个极狐GitLab 议题(默认)。
- 一个 Jira 议题。
创建 Jira 议题需要在项目上启用 Jira 集成。请注意,启用 Jira 集成后,极狐GitLab 议题功能不可用。
为漏洞创建极狐GitLab 议题
要为漏洞创建极狐Gitlab 议题:
- 在顶部栏上,选择 主菜单 > 项目 并找到您的项目。
- 在左侧边栏,选择 安全与合规 > 漏洞报告。
- 选择漏洞的描述。
- 选择 创建议题。
在项目中创建一个议题,预先填充来自漏洞报告的信息。 然后开放议题,以便您采取进一步的行动。
为漏洞创建 Jira 议题
- 引入于 13.9 版本。
- 功能标志移除于 13.12 版本。
先决条件:
- 启用 Jira 集成。必须选择 启用从漏洞创建 Jira 议题 选项作为配置的一部分。
- 每个用户都必须拥有一个个人 Jira 用户帐户,该帐户有权在目标项目中创建议题。
为漏洞创建 jira 议题:
- 在顶部栏上,选择 主菜单 > 项目 并找到您的项目。
- 在左侧边栏,选择 安全与合规 > 漏洞报告。
- 选择漏洞的描述。
- 选择 创建 jira 议题。
- 如果您尚未登录 jira,请登录。
在新的浏览器选项卡中创建并打开 jira 议题。从漏洞的详细信息预先填充了 摘要 和 描述 字段。
与极狐GitLab 议题不同,jira 议题是否打开或关闭的状态不会在极狐GitLab 用户界面中显示。
关联漏洞到议题
您可以将漏洞关联到一个或多个现有的极狐GitLab 议题。添加关联有助于跟踪解决或缓解漏洞的问题。
与漏洞相关的议题显示在漏洞报告和漏洞页面中。
请注意漏洞和关联议题之间的以下情况:
- 漏洞页面显示关联议题,但议题页面不显示与它相关的漏洞。
- 一个议题一次只能与一个漏洞相关联。
- 议题可以跨群组和项目关联。
关联漏洞到现有议题
要将漏洞关联到现有问题:
- 在顶部栏上,选择 主菜单 > 项目 并找到您的项目。
- 在左侧边栏,选择 安全与合规 > 漏洞报告。
- 选择漏洞的描述。
- 在 相关议题 部分,选择加号图标 ()。
- 对于要关联的每个议题,可以:
- 粘贴指向议题的链接。
- 输入议题的 ID(以
#
为前缀)。
- 选择 添加。
选定的议题被添加到 相关议题 部分,并且更新了关联议题计数。
解决漏洞
对于某些漏洞,解决方案是已知的。在这些情况下,漏洞页面包含一个 通过合并请求解决 选项。
支持以下扫描工具:
-
Dependency 扫描。
自动补丁创建仅适用于使用
yarn
管理的 Node.js 项目。 此外,当 FIPS 模式禁用时,才支持自动创建补丁。 - 容器扫描。
要解决漏洞,您可以:
使用合并请求解决漏洞
使用合并请求解决漏洞:
- 在顶部栏上,选择 主菜单 > 项目 并找到您的项目。
- 在左侧边栏,选择 安全与合规 > 漏洞报告。
- 选择漏洞的描述。
- 从 通过合并请求解决 下拉列表中,选择 通过合并请求解决。
创建一个合并请求,该请求应用解决漏洞所需的补丁。 根据您的标准工作流程处理合并请求。
手动解决漏洞
手动应用极狐GitLab 为漏洞生成的补丁:
- 在顶部栏上,选择 主菜单 > 项目 并找到您的项目。
- 在左侧边栏,选择 安全与合规 > 漏洞报告。
- 选择漏洞的描述。
- 从 通过合并请求解决 下拉列表中,选择 下载补丁以解决。
- 确保您的本地项目具有与生成补丁相同的已检出提交。
- 运行
git apply remediation.patch
。 - 验证并将更改提交到您的分支。
- 创建合并请求以将更改应用到您的主分支。
- 根据您的标准工作流程处理合并请求。
启用针对漏洞的安全培训
引入于 14.9 版本
安全培训可帮助您的开发人员学习如何修复漏洞。开发人员可以查看所选培训提供商提供的与检测到的漏洞相关的安全培训。
为项目中的漏洞启用安全培训:
- 在顶部栏上,选择 主菜单 > 项目 并找到您的项目。
- 在左侧边栏上,选择 安全与合规 > 配置。
- 在标签栏上,选择 漏洞管理。
- 要启用安全培训提供者,请打开切换开关。
安全培训使用来自第三方供应商的内容。您必须有互联网连接才能使用此功能。
查看漏洞的安全培训
引入于 14.9 版本
如果启用了安全培训,则漏洞页面可能包含与检测到的漏洞相关的培训链接。 培训的可用性取决于启用的培训供应商是否具有与特定漏洞匹配的内容。根据漏洞标识符请求培训内容,赋予漏洞的标识符因漏洞而异,可用的培训内容因供应商而异,这意味着某些漏洞将不会显示任何培训内容。 CWE 的漏洞最有可能返回训练结果。
要查看漏洞的安全培训:
- 在顶部栏上,选择 主菜单 > 项目 并找到您的项目。
- 在左侧边栏,选择 安全与合规 > 漏洞报告。
- 选择您要查看安全培训的漏洞。
- 选择 查看培训。