漏洞严重性级别 (ULTIMATE ALL)
GitLab 漏洞分析器会尽可能尝试返回漏洞严重性级别。以下是可用的 GitLab 漏洞严重性级别列表,从最严重到最不严重排列:
Critical
High
Medium
Low
Info
Unknown
大多数 GitLab 漏洞分析器都是流行的开源扫描工具的包装。每个开源扫描工具都提供自己本身的漏洞严重性级别的值。如下表所述:
原生漏洞严重性级别类型 | 示例 |
---|---|
String |
WARNING 、ERROR 、Critical 、Negligible
|
Integer |
1 、2 、5
|
CVSS v2.0 Rating | (AV:N/AC:L/Au:S/C:P/I:P/A:N)
|
CVSS v3.1 Qualitative Severity Rating | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
|
为了提供一致的漏洞严重性级别值,GitLab 漏洞分析器将上述值转换为标准化的 GitLab 漏洞严重性级别,如下表所述:
SAST
GitLab 分析器 | 输出严重性级别? | 原生严重性级别类型 | 原生严重性级别示例 |
---|---|---|---|
security-code-scan
| Yes | String |
CRITICAL 、HIGH 、MEDIUM (分析器版本为 3.2.0 或更高)。在早期版本中,硬编码为 Unknown 。
|
brakeman
| Yes | String |
HIGH 、MEDIUM 、LOW
|
sobelow
| Yes | N/A | 硬编码所有安全性级别为 Unknown
|
nodejs-scan
| Yes | String |
INFO 、WARNING 、ERROR
|
flawfinder
| Yes | Integer |
0 、1 、2 、3 、4 、5
|
SpotBugs
| Yes | Integer |
1 、2 、3 、11 、12 、18
|
phpcs-security-audit
| Yes | String |
ERROR 、WARNING
|
pmd-apex
| Yes | Integer |
1 、2 、3 、4 、5
|
kubesec
| Yes | String |
CriticalSeverity 、InfoSeverity
|
secrets
| Yes | N/A | 硬编码所有安全性级别为 Critical
|
semgrep
| Yes | String |
error 、warning 、note 、none
|
kics
| Yes | String |
error 、warning 、note 、none (在分析器版本 3.7.0 及更高版本中映射到 info )
|
Dependency Scanning
GitLab 分析器 | 输出严重性级别? | 原生严重性级别类型 | 原生严重性级别示例 |
---|---|---|---|
gemnasium
| Yes | CVSS v2.0 Rating 和 CVSS v3.1 Qualitative Severity Rating 1 |
(AV:N/AC:L/Au:S/C:P/I:P/A:N) 、CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
|
- CVSS v3.1 Rating 用于计算严重性级别。如果它不可用,则使用 CVSS v2.0 Rating。
Container Scanning
GitLab 分析器 | 输出严重性级别? | 原生严重性级别类型 | 原生严重性级别示例 |
---|---|---|---|
container-scanning
| Yes | String |
Unknown 、Low 、Medium 、High 、Critical
|
如果可用,供应商严重性级别优先,并由分析器使用。如果不可用,那么将退回到 CVSS v3.1 评级。如果仍不可用,则改为使用 CVSS v2.0 评级。有关此实现的详细信息,请参见 trivy 和 grype。
模糊测试
所有模糊测试结果都报告为未知,您应该对它们进行手动审核和分类,找到可利用的故障并优先修复。