• 项目级漏洞报告
  • 查看项目级漏洞报告
• 漏洞报告操作
• 漏洞报告过滤器
  • 过滤漏洞列表
• 工具过滤器
  • 项目过滤器
  • 活动过滤器
• 查看漏洞的详细信息
• 查看易受攻击的源位置
• 更改漏洞状态
• 按检测日期对漏洞进行排序
• 导出漏洞详细信息
  • 以 CSV 格式导出详细信息
• 忽略漏洞
• 手动添加漏洞发现
• 漏洞分组
• 运营漏洞

漏洞报告

漏洞报告提供有关默认分支扫描的漏洞信息。包含所有成功作业的累积结果，无论流水线是否成功。流水线中的扫描结果仅在流水线中的所有作业完成后才会被提取。

该报告可供对项目、群组和安全中心拥有正确角色的用户使用。

在所有级别，漏洞报告都包含：

• 每个严重级别的漏洞总数。
• 常见漏洞属性的过滤器。
• 每个漏洞的详细信息，以表格布局显示。

活动 列包含指示针对该行中的漏洞采取的活动（如果有）的图标：

• 议题 ：链接到创建漏洞的议题。有关更多详细信息，请阅读为漏洞创建议题。
• Wrench ：漏洞已修复。
• 误报 ：扫描器确定此漏洞为误报。

要打开为漏洞创建的议题，请将鼠标悬停在 活动 条目上，然后选择链接。 议题图标 () 展示议题的状态。如果支持 Jira 议题，则 活动 条目中的议题链接会链接到 Jira 中的议题。与极狐GitLab 议题不同，Jira 议题的状态不会显示在极狐GitLab UI 中。

项目级漏洞报告

在项目级别，漏洞报告还包含：

• 显示更新时间的时间戳，包括指向最新流水线的链接。
• 最近流水线中发生的故障数。选择失败通知，查看流水线页面的 失败的作业 选项卡。

当漏洞源自多项目流水线设置时，此页面显示源自所选项目的漏洞。

查看项目级漏洞报告

查看项目级漏洞报告：

1. 在左侧边栏中，选择 搜索或转到 并找到您的项目。
2. 选择 安全 > 漏洞报告。

漏洞报告操作

在漏洞报告中，您可以：

• 过滤漏洞列表
• 查看漏洞的详细信息
• 查看易受攻击的源位置（如可用）
• 更改漏洞状态
• 导出漏洞详细信息
• 按日期对漏洞进行排序
• 手动添加漏洞发现
• 漏洞分组

漏洞报告过滤器

您可以过滤漏洞报告，以仅关注匹配特定标准的漏洞。

可用过滤器为：

• 状态：已检测、已确认、已忽略、已解决。有关状态的详细信息，请参见漏洞状态值。
• 严重程度：Critical、High、Medium、Low、Info 和 Unknown。
• 工具：获取更多信息，查看工具过滤器。
• 项目：获取更多信息，查看项目过滤器。
• 活动：获取更多信息，查看活动过滤器。

过滤器的标准组合在一起，仅显示符合所有标准的漏洞，活动过滤器例外。有关其工作原理的更多详细信息，请参阅活动过滤器。

过滤漏洞列表

过滤漏洞列表：

1. 选择一个过滤器。
2. 从下拉列表中选择值。
3. 对每个所需的过滤器重复上述步骤。

选择每个过滤器后：

• 匹配漏洞列表已更新。
• 漏洞严重性总计已更新。

工具过滤器

第三方工具过滤器引入于极狐GitLab 13.12。

工具过滤器允许您专注于选定检测到漏洞的工具。

使用工具过滤器时，您可以选择：

• 所有工具（默认）。
• 极狐GitLab 提供的工具。
• 任何集成的第三方工具。

有关每个可用工具的详细信息，请参阅安全扫描工具。

项目过滤器

项目过滤器的内容取决于当前级别：

• 安全中心：仅限您添加到个人安全中心的项目。
• 群组级别：群组中的所有项目。
• 项目级别：不适用。

活动过滤器

活动过滤器的行为与其他过滤器不同。选定的值形成互斥集，允许精确定位所需的漏洞记录。此外，并非所有选项都可以组合选择。

使用活动过滤器时的选择行为：

• 所有：具有任何活动状态的漏洞（与忽略此过滤器相同）。选择此选项会取消选择任何其他活动过滤器选项。
• 无活动：仅没有相关议题或不再检测到的漏洞。选择此选项会取消选择任何其他活动过滤器选项。
• 有议题：只有具有一个或多个相关议题的漏洞。不包括不再检测到的漏洞。
• 不再检测：只有在 default 分支的最新流水线扫描中不再检测到的漏洞。不包括具有一个或多个相关议题的漏洞。
• 有议题 且 不再检测：只有具有一个或多个相关议题并且在 default 分支的最新流水线扫描中不再检测到的漏洞。

查看漏洞的详细信息

要查看漏洞的更多详细信息，请选择漏洞的 描述。在打开的漏洞详情页面中查看。

查看易受攻击的源位置

一些安全扫描程序会输出潜在漏洞的文件名和行号。当该信息可用时，漏洞的详细信息会在默认分支中包含指向相关文件的链接。

要查看相关文件，请在漏洞详细信息中选择文件名。

更改漏洞状态

• 提供评论和忽略原因的功能引入于 16.0 版本。

从漏洞报告中，您可以更改一个或多个漏洞的状态。

要更改表格中的漏洞状态：

1. 选中您要更新其状态的每个漏洞旁边的复选框。要全选，请选中表格标题中的复选框。
2. 在 设置状态 下拉列表中，选择所需的状态。
3. 如果选择了 已忽略 状态，请在 设置忽略原因 下拉列表中选择所需的原因。
4. 在 添加评论 输入框中，您可以提供评论。对于 已忽略 状态，需要评论。
5. 选择 更改状态。

按检测日期对漏洞进行排序

默认情况下，漏洞按严重性级别排序，最严重的漏洞列在顶部。

要按检测到每个漏洞的日期对漏洞进行排序，请单击 “检测到” 列标题。

导出漏洞详细信息

您可以导出漏洞报告中列出的漏洞的详细信息。导出格式为 CSV（逗号分隔值）。请注意，所有漏洞都包括在内，因为过滤器不适用于导出。

包括的字段是：

• 群组名称
• 项目名称
• 扫描器类型
• 扫描器名称
• 状态
• 漏洞
• 详细信息
• 更多信息
• 严重级别
• CVE (Common Vulnerabilities and Exposures)
• CWE (Common Weakness Enumeration)
• 其它标识符
• 检测时间
• 位置
• 活动：如果漏洞在默认分支上被解决，则返回 true；如果未被解决，则返回 false。
• 评论

以 CSV 格式导出详细信息

要导出漏洞报告中列出的所有漏洞的详细信息，请选择 导出。

从数据库中检索详细信息，然后将 CSV 文件下载到您的本地计算机。

忽略漏洞

当您评估一个漏洞，并决定不需要对其执行更多操作时，您可以将其标记为 已忽略。在未来的扫描中检测到被忽略的漏洞时，不会出现在合并请求安全部件中。

当在项目和群组中忽略漏洞时，会记录以下内容：

• 忽略漏洞的人员。
• 忽略漏洞的日期和时间。
• （可选）忽略原因。

漏洞记录无法删除，因此永久记录始终保留。

您可以忽略项目和群组中的漏洞：

1. 在安全仪表盘中选择漏洞。
2. 在右上角的 状态 下拉列表中，选择 已忽略。
3. 可选。添加忽略原因并选择 保存评论。

要撤消此操作，请从同一菜单中选择不同的状态。

手动添加漏洞发现

• 引入于 14.9 版本。默认禁用。
• 在 JihuLab.com 上启用于 14.10 版本。
• 功能标志 new_vulnerability_form 删除于 15.0 版本。

要从您的项目级漏洞报告页面添加新的漏洞发现：

1. 在左侧边栏中，选择 搜索或转到 并找到您的项目。
2. 在左侧边栏中，选择 安全 > 漏洞报告。
3. 点击 提交漏洞。
4. 填写字段并提交表格。

您将跳转到新创建的漏洞的详细信息页面。手动创建的记录显示在群组、项目和安全中心漏洞报告中。要过滤它们，请使用通用工具过滤器。

漏洞分组

• 引入于极狐GitLab 16.4。默认禁用。
• 在 JihuLab.com 上启用于极狐GitLab 16.5。

对漏洞报告进行分组：

1. 在 漏洞报告 过滤器下方，选择 分组方式 下拉列表。
2. 选择分组方式：按状态或严重性分组。

要查看群组中包含的内容，请选择一个类别以展开报告并查看相关漏洞。

运营漏洞

引入于 14.6 版本

运营漏洞选项卡列出了由 cluster_image_scanner 发现的漏洞。 此选项卡显示在项目、群组和安全中心漏洞报告上。