安全仪表盘

版本历史

• 新版仪表盘，带有高级搜索功能，在极狐GitLab 18.6 引入，带有功能标志命名为 project_security_dashboard_new 和 group_security_dashboard_new。默认禁用。
• 新版仪表盘，带有高级搜索功能，在极狐GitLab 18.7 在 JihuLab.com、私有化部署上启用。
• 新版仪表盘，带有高级搜索功能，在极狐GitLab 18.8 GA。功能标志 project_security_dashboard_new 和 group_security_dashboard_new 已删除。

极狐GitLab 18.6 引入了改进版的安全仪表盘，使用高级漏洞管理。

新版仪表盘在 JihuLab.com 和极狐GitLab Dedicated 上默认启用。私有化部署用户必须启用高级漏洞管理才能访问新版仪表盘。

如果您的组织尚未启用高级漏洞管理，请参阅旧版安全仪表盘。

安全仪表盘#

版本历史

• 使用高级漏洞管理的新版仪表盘在极狐GitLab 18.6 引入，带有功能标志命名为 project_security_dashboard_new 和 group_security_dashboard_new。默认禁用。
• 新版仪表盘在极狐GitLab 18.7 在私有化部署上启用。
• 新版仪表盘在极狐GitLab 18.8 GA。功能标志 project_security_dashboard_new 和 group_security_dashboard_new 已删除。

使用安全仪表盘评估应用程序的安全状况。极狐GitLab 为您提供一系列指标、评级和图表，展示在您的项目中运行的安全扫描器检测到的漏洞。安全仪表盘提供以下数据：

• 群组中所有项目在 30、60 或 90 天时间范围内的漏洞趋势。
• 按严重程度划分的未解决漏洞总数。
• 总风险评分，用于比较不同项目的漏洞风险。

前提条件#

要查看项目或群组的安全仪表盘，您必须具备：

• 对群组或项目具有开发者或更高角色。
• 在您的项目中配置了至少一个安全扫描器。
• 在项目的默认分支上进行了成功的安全扫描。
• 项目中至少检测到一个漏洞。
• 高级漏洞管理和启用的高级搜索。

查看安全仪表盘#

安全仪表盘显示基于默认分支中检测到的漏洞数据构建的可过滤图表和面板。图表包括随时间变化的漏洞数量和严重程度计数。许多图表中的数据分为两类：

• 未解决：包括状态为需要分类或已确认的漏洞
• 已关闭：包括状态为已忽略和已解决的漏洞

除非另有说明，图表和面板仅包含未解决的漏洞。

您可以查看项目或群组的安全仪表盘。每个仪表盘都为您的安全状况提供了独特的视角。

两个仪表盘都包括：

• 图表
  • 随时间变化的漏洞
  • 漏洞严重程度面板
  • 风险评分
  • 按存在时间划分的漏洞
  • Top 10 CWE
• 筛选整个仪表盘
• 导出为 PDF

要查看安全仪表盘：

1. 在顶部导航栏，选择搜索或跳转到并找到您的项目。
2. 在左侧边栏，选择安全 > 安全仪表盘。

项目安全仪表盘#

项目安全仪表盘显示在项目默认分支中检测到的漏洞。它包括：

• 随时间变化的漏洞图表，包含最多 90 天的历史记录。
• 严重程度面板，按严重程度显示未解决的漏洞。
• 风险评分面板，显示项目的整体安全风险。
• 按存在时间划分的漏洞图表，按存在时间分组显示未解决的漏洞。
• Top 10 CWE图表，显示 10 种最常见的 CWE。

未解决的漏洞是指状态为需要分类或已确认的漏洞。状态为已忽略或已解决的已关闭漏洞不包含在这些图表中。

群组安全仪表盘#

群组安全仪表盘提供了群组及其子群组中所有项目的默认分支中发现的漏洞概览。群组安全仪表盘提供以下内容：

• 随时间变化的漏洞图表，包含最多 90 天的历史记录。
• 严重程度面板，按严重程度显示未解决的漏洞。
• 风险评分面板，显示总风险以及每个项目的风险。
• 按存在时间划分的漏洞图表，按存在时间分组显示未解决的漏洞。
• Top 10 CWE图表，显示 10 种最常见的 CWE。

图表#

安全仪表盘包含多个图表，帮助您了解并处理项目和群组中的漏洞。

随时间变化的漏洞#

随时间变化的漏洞图表在项目和群组仪表盘上都可用。它以 30、60 或 90 天为周期显示未解决漏洞的趋势。默认范围为 30 天。极狐GitLab 保留漏洞数据 365 天。

使用图表可以识别漏洞引入的时间以及它们如何随时间变化。

要查看详细信息：

1. 将鼠标悬停在数据点上，查看当天的漏洞数量。
2. 使用时间范围选择器在 30、60 或 90 天之间切换。
3. 拖动范围手柄（
   ）可缩放到特定时间段。
4. 使用下拉菜单按严重性（例如，严重、高、中）进行筛选。
5. 使用按钮按以下任一选项对数据进行分组：
   • 严重性：严重、高、中、低、信息、未知。
   • 报告类型：SAST、DAST、依赖项扫描及其他。
6. 要探索超过 90 天但在最近 365 天内的数据，请使用 SecurityMetrics.vulnerabilitiesOverTime GraphQL API。
7. 不再被检测到的漏洞不会自动计为已关闭。如果需要，可以使用漏洞管理策略自动关闭它们。

漏洞严重程度面板#

漏洞严重程度面板按严重程度显示未解决的漏洞总数。

要查看详细信息：

1. 在严重程度面板中，找到您要调查的严重程度。
2. 选择查看。
   • 漏洞报告会打开，并仅包含该严重程度的漏洞。
   • 您设置的任何页面级筛选条件也会被应用。

风险评分面板#

版本历史

• 群组仪表盘的风险评分面板：
  • 在极狐GitLab 18.6 引入，带有功能标志命名为 security_dashboard_risk_score。默认禁用。
  • 在极狐GitLab 18.7 在 JihuLab.com、私有化部署上启用。
  • 在极狐GitLab 18.8 GA。功能标志 security_dashboard_risk_score 已删除。
• 项目仪表盘的风险评分图表：
  • 在极狐GitLab 18.11 GA。

风险评分面板显示群组或项目的整体安全风险。面板有两个视图：

1. 无分组（默认）视图显示群组的总风险评分：
   • 圆形仪表盘在中心显示计算出的风险评分。
   • 彩色条表示风险等级：
     • 绿色：低风险
     • 黄色：中风险
     • 橙色：高风险
     • 红色：严重风险
2. 选择项目可比较每个项目的风险评分：
   • 每个项目磁贴根据项目的风险级别进行颜色编码。
   • 将鼠标悬停在磁贴上可查看详细信息，包括项目名称和风险评分。
   • 选择一个磁贴，然后选择项目名称，打开该项目的漏洞报告。

风险评分的计算基于多个因素，包括：

• 漏洞的严重程度
• 漏洞存在的时间
• KEV（已知被利用的漏洞）状态
• EPSS（漏洞利用预测评分系统）分数

按存在时间划分的漏洞#

版本历史

• 项目仪表盘的按存在时间划分的漏洞图表：
  • 在极狐GitLab 18.11 GA。

按存在时间划分的漏洞图表在群组和项目仪表盘上都可用。它根据自首次检测以来的时间长短，展示未解决漏洞的分布情况。您可以按严重程度或报告类型对漏洞进行分组，帮助您确定哪些地方可能需要采取修复措施。

要查看详细信息：

1. 将鼠标悬停在数据点上，查看该存在时间分组中的漏洞数量。
2. 使用下拉菜单按严重性（例如，严重、高、中）进行筛选。
3. 使用按钮按以下任一选项对数据进行分组：
   • 严重性：严重、高、中、低、信息、未知。
   • 报告类型：SAST、DAST、依赖项扫描及其他。

Top 10 CWE#

版本历史

• 在极狐GitLab 18.11 引入，带有功能标志命名为 new_security_dashboard_vulnerabilities_by_identifier。默认启用。
• 在极狐GitLab 19.0 GA。功能标志 new_security_dashboard_vulnerabilities_by_identifier 已删除。

Top 10 CWE图表在群组和项目仪表盘上都可用。它显示群组或项目中与未解决漏洞关联的 10 种最常见的 CWE 标识符。

要查看详细信息：

1. 将鼠标悬停在数据点上，查看每种 CWE 类型的漏洞总数。
2. 使用下拉菜单按严重性（例如，严重、中或高）进行筛选。

筛选整个仪表盘#

您可以在两个级别筛选结果：

• 仪表盘筛选条件：应用于整个仪表盘。使用这些筛选条件时，所有图表都会更新。
• 图表和面板筛选条件：仅应用于您正在查看的图表或面板。

可用的仪表盘筛选条件包括：

• 报告类型：按扫描器筛选，包括 SAST、DAST、依赖项扫描等。
• 项目：将结果限制为特定项目。仅适用于群组安全仪表盘。

在群组安全仪表盘上，您还可以按以下条件筛选：

• 安全属性：按应用于项目中的安全属性进行筛选，这些属性包括业务影响、应用程序、业务单元、互联网暴露和位置的类别。这些筛选条件可以是包含性的（使用是其中之一运算符）或排除性的（使用不是其中之一运算符）。要配置您的安全属性并将其应用于项目，请参阅安全属性。

仪表盘筛选条件的行为：

• 筛选条件会立即应用于所有仪表盘图表和面板。
• 您应用的筛选条件会在整个会话期间持续生效，除非您将其删除。
• 当您从仪表盘打开漏洞报告时，活动筛选条件会自动应用于该漏洞报告。

要对整个仪表盘应用筛选条件：

1. 在仪表盘顶部的筛选栏中，选择筛选结果...。
2. 从下拉菜单中，选择筛选条件类型。
3. 选择一个或多个筛选值。

导出为 PDF#

版本历史

• 在极狐GitLab 18.10 引入，带有功能标志命名为 new_security_dashboard_pdf_export。默认禁用。
• 在极狐GitLab 18.11 在 JihuLab.com、私有化部署上启用。
• 在极狐GitLab 19.0 GA。功能标志 new_security_dashboard_pdf_export 已删除。

您可以将安全仪表盘导出为 PDF，用于报告和演示。导出会捕获仪表盘中所有图表和面板的当前状态，包括任何活动的筛选条件。

要将仪表盘导出为 PDF：

1. 在顶部导航栏，选择搜索或跳转到并找到您的项目或群组。
2. 在左侧边栏，选择安全 > 安全仪表盘。
3. 可选。应用筛选条件自定义导出中包含的数据。
4. 选择导出为 PDF。

旧版安全仪表盘#

未启用高级漏洞管理的私有化部署客户无法访问最新的安全仪表盘。在这种情况下，您仍然可以访问旧版安全仪表盘。

安全仪表盘用于评估应用程序的安全状况。极狐GitLab 为您提供一系列指标、评级和图表，展示在您的项目中运行的安全扫描器检测到的漏洞。安全仪表盘提供的数据例如：

• 群组中所有项目在 30、60 或 90 天时间范围内的漏洞趋势
• 根据漏洞严重程度为每个项目分配一个字母等级评级
• 在过去 365 天内检测到的漏洞总数，包括其严重程度

使用安全仪表盘数据改善您的安全状况。例如，365 天的趋势视图显示了哪些天漏洞激增。检查这些天的代码更改，进行根本原因分析，并构建更好的策略以防止未来的漏洞。

要查看概述，请观看视频：安全仪表盘 - 高级安全测试。

旧版仪表盘的前提条件#

要查看安全仪表盘，需要满足以下条件：

• 您必须对群组或项目具有开发者角色。
• 在您的项目中至少配置了一个安全扫描器。
• 在项目的默认分支上进行了成功的安全扫描。
• 项目中至少检测到一个漏洞。

查看旧版安全仪表盘#

安全仪表盘可以在项目、群组和安全中心级别查看。每个仪表盘都为您的安全状况提供了独特的视角。

项目安全仪表盘#

项目安全仪表盘显示给定项目随时间检测到的漏洞总数，最多可显示 365 天的历史数据。仪表盘是默认分支中未解决漏洞的历史视图。未解决的漏洞是指仅具有需要分类或已确认状态的漏洞（已忽略或已解决的漏洞除外）。

要查看项目的安全仪表盘：

1. 在顶部导航栏，选择搜索或跳转到并找到您的项目。
2. 在左侧边栏，选择安全 > 安全仪表盘。
3. 筛选并搜索您需要的内容。
   • 要按严重程度筛选图表，请选择图例名称。
   • 要查看特定的时间范围，请使用时间范围手柄（
     ）。
   • 要查看图表的特定区域，请选择最左侧的图标（
     ）并在图表上拖动。
   • 要重置为原始范围，请选择移除选择（
     ）。

下载漏洞图表#

您可以从项目安全仪表盘下载漏洞图表的图像，用于文档、演示等。要下载漏洞图表的图像：

1. 在顶部导航栏，选择搜索或跳转到并找到您的项目。
2. 在左侧边栏，选择安全 > 安全仪表盘。
3. 选择将图表另存为图像（
   ）。

系统会提示您以 SVG 格式下载图像。

群组安全仪表盘#

群组安全仪表盘提供了群组及其子群组中所有项目的默认分支中发现的漏洞概览。群组安全仪表盘提供以下内容：

• 在 30、60 或 90 天时间范围内的漏洞趋势
• 根据每个项目最高严重程度的未解决漏洞，为群组中的每个项目分配一个字母等级。字母等级的分配标准如下：

要查看群组安全仪表盘：

1. 在顶部导航栏，选择搜索或跳转到并找到您的群组。

2. 在左侧边栏，选择安全 > 安全仪表盘。

3. 将鼠标悬停在随时间变化的漏洞图表上，以获取有关漏洞的更多详细信息。

   • 您可以显示 30、60 或 90 天时间范围内的漏洞趋势（默认为 90 天）。
   • 要查看超过 90 天时间范围的聚合数据，请使用 VulnerabilitiesCountByDay GraphQL API。极狐GitLab 将数据保留 365 天。

4. 选择项目安全状态部分下的箭头，查看哪些项目属于特定的字母等级评级：

   • 您可以查看项目中发现了多少特定严重程度的漏洞。
   • 您可以选择项目名称，直接访问其项目安全仪表盘。

价值流仪表盘中的漏洞指标#

版本历史

• 在极狐GitLab 16.0 引入。

在价值流仪表盘的比较面板中，提供了额外的漏洞指标，帮助您了解在组织软件交付工作流背景下的安全暴露情况。