极狐GitLab 安全仪表盘和安全中心
安全仪表盘
安全仪表盘用来访问应用程序的安全状态。极狐GitLab 为你提供了一系列的指标、评级和图表,这些内容是针对在你的项目上运行的 安全扫描器所检测到的漏洞的。安全仪表盘提供如下数据:
- 群组中所有项目在过去 30、60 或 90 天的漏洞趋势
- 基于漏洞严重性的项目评分
- 近一年内发现的漏洞总数(包括严重程度)
安全仪表盘提供的数据可以用来洞察什么决策可以用来改善您的安全态势。例如,使用 365 天趋势视图,您可以看到在哪些天引入了大量漏洞。然后您可以检查在那些特定的日子里所做的代码更改,以进行根本原因分析,创建更好的政策来防止未来的漏洞引入。
在值流仪表盘中查看漏洞指标
- 引入于极狐GitLab 16.0。
您还可以在价值流仪表盘对比面板中查看漏洞指标,这能够帮助您理解在组织软件交付流程中的安全暴露情况。
先决条件
要查看安全仪表盘,需要满足以下条件:
- 您必须拥有群组或项目的开发员角色。
- 项目中已配置至少一个 安全扫描器。
- 在项目默认分支上已执行至少一次安全扫描。
- 项目中至少检测到一个漏洞。
NOTE: 安全仪表盘显示默认分支上最近完成流水线的扫描结果。仪表盘更新时,只包含默认分支流水线的扫描结果;不包含其他未合并分支的扫描结果。
查看安全仪表盘
安全仪表盘可以在项目、群组和安全中心三个层级查看。每个仪表盘提供独特的安全态势视角。
项目安全仪表盘
项目安全仪表盘显示了检测到的漏洞总数,最多可以显示 365 天的数据。仪表盘是一个历史视图,用来显示默认分支上的打开的漏洞。打开的漏洞指的是状态为 需要分类、已确认 的漏洞(已忽略、已解决 的漏洞排除在外)。
要查看项目的安全仪表盘:
- 在左侧导航栏,选择 搜索或前往 并找到您的项目。
- 选择 安全 > 安全仪表盘。
- 根据需要进行过滤和搜索。
- 要按严重程度过滤图表,选择图例名称。
- 要查看特定时间范围的数据,使用时间范围句柄()。
- 要查看图表的特定区域,选择最左侧的图标()并拖动。
- 要重置到原始范围,选择 Remove Selection()。
下载漏洞报告
您还可以从项目安全仪表盘中下载漏洞图表图像以用在文档、演讲中等。要下载漏洞图表图像:
- 在左侧导航栏,选择 搜索或前往 并找到您的项目。
- 选择 安全 > 安全仪表盘。
- 选择 保存图表为图像()。
您将被提示下载 SVG 格式的图像。
群组安全仪表盘
群组安全仪表盘提供了在群组和子群组所有项的默认分支上发现的安全漏洞概览。群组安全仪表盘提供如下信息:
- 30、60、90 天的安全漏洞趋势
- 群组中每个项目的字母等级(根据开放的最高严重等级的漏洞确定)。使用如下标准来指派字母等级:
| 等级 | 描述 |
|---|---|
| F | 一个或多个 critical 漏洞 |
| D | 一个或多个 high 或 unknown 漏洞 |
| C | 一个或多个 medium 漏洞 |
| B | 一个或多个 low 漏洞 |
| A | 无漏洞 |
要查看群组安全仪表盘:
- 在左侧导航栏,选择 搜索或前往 并找到您的群组。
- 选择 安全 > 安全仪表盘。
- 悬停在 随时间的漏洞 图表上来获取漏洞的更多详情。
- 您可以显示 30、60、90 天的安全漏洞趋势(默认为 90 天)。
- 要查看超过 90 天的数据,使用 VulnerabilitiesCountByDay GraphQL API。极狐GitLab 保留 365 天的数据。
- 选择 项目安全状态 下的箭头来查看哪些项目属于特定的字母等级:
- 您可以查看在项目中发现的特定严重等级的漏洞数量
- 您可以点击项目名称直接访问该项目的安全仪表盘
安全中心
安全中心是一个可配置的个人空间,在这里面可以查看所有您所属的项目的安全漏洞。安全中心包括:
- 群组安全仪表盘
- 漏洞报告
- 一个设置区域,用于配置要显示的项目
查看安全中心
要查看安全中心:
- 在左侧导航栏,选择 搜索或前往。
- 选择 您的工作。
- 选择 安全 > 安全仪表盘。
安全中心默认为空。您必须至少添加一个已至少配置了一个安全扫描器的项目。
添加项目到安全中心
要添加项目到安全中心:
- 在左侧导航栏,选择 搜索或前往。
- 选择 您的工作。
- 展开 安全。
- 选择 设置。
- 使用 搜索您的项目 文本框搜索并选择项目。
- 选择 添加项目。
添加项目后,安全仪表盘和漏洞报告将显示在项目默认分支上发现的漏洞。您最多可以添加 1,000 个项目,但是 项目 过滤器在 漏洞报告 中最多可以显示 100 个项目。