安全术语
- Tier: 基础版,专业版,旗舰版
- Offering: JihuLab.com, 私有化部署
这个词汇表提供了与极狐GitLab 安全功能相关的术语定义。虽然有些术语在其他地方可能有不同的意义,但这些定义是极狐GitLab 特有的。
分析器
执行扫描的软件。扫描分析攻击面以查找漏洞,并生成包含发现的报告。报告遵循安全报告格式。
分析器通过 CI 作业集成到极狐GitLab。分析器生成的报告在作业完成后作为产物发布。极狐GitLab 接收此报告,使用户能够可视化和管理发现的漏洞。有关更多信息,请参阅安全扫描器集成。
许多极狐GitLab 分析器采用标准方法,使用 Docker 运行封装的扫描器。例如,图像 semgrep 是一个封装扫描器 Semgrep 的分析器。
攻击面
应用程序中易受攻击的不同位置。安全产品在扫描期间发现并搜索攻击面。每个产品对攻击面的定义都不同。例如,SAST 使用文件和行号,DAST 使用 URL。
组件
构成软件项目一部分的软件组件。示例包括库、驱动程序、数据等。
语料库
在模糊测试运行期间生成的一组有意义的测试用例。每个有意义的测试用例在测试的程序中产生新的覆盖率。建议重用语料库并将其传递给后续运行。
CNA
CVE 编号机构 (CNAs) 是由 Mitre Corporation 授权的全球组织,负责为其各自范围内的产品或服务中的漏洞分配 CVE。
CVE
常见漏洞和曝光 (CVE®) 是一个用于已知网络安全漏洞的公共标识符列表。该列表由 Mitre Corporation 管理。
CVSS
通用漏洞评分系统 (CVSS) 是一个免费开放的行业标准,用于评估计算机系统安全漏洞的严重性。
CWE
通用弱点枚举 (CWE™) 是一个由社区开发的常见软件和硬件弱点类型列表,这些弱点具有安全影响。弱点是软件或硬件实现、代码、设计或架构中的缺陷、故障、错误、漏洞或其他错误。如果不予解决,弱点可能导致系统、网络或硬件易受攻击。CWE 列表及相关分类法为您提供了一种语言,可用于识别和描述这些弱点,并用 CWE 表示。
去重
当一个类别的过程认定发现是相同的,或者它们足够相似以至于需要噪声减少时,只保留一个发现,其他的则被消除。
依赖图导出
依赖图导出列出了项目使用的直接和间接依赖项以及它们之间的关系。与锁定文件不同,因为它可能 不 是在安装时由软件包管理器要求的,如 pipdeptree graph 导出的情况。
重复发现
多次报告的合法发现。这可能发生在不同的扫描器发现同一发现时,或者单个扫描无意中多次报告同一发现时。
误报
一个不存在但被错误报告为存在的发现。
发现
在项目中由分析器识别的可能易受攻击的资产。资产包括但不限于源代码、二进制软件包、容器、依赖项、网络、应用程序和基础设施。
发现是扫描仪在 MR/功能分支中识别的所有潜在漏洞项。只有在合并到默认分支后,发现才成为漏洞。
您可以通过两种方式与漏洞发现进行交互。
- 您可以为漏洞发现打开一个议题或合并请求。
- 您可以解雇漏洞发现。解雇发现会将其从默认视图中隐藏。
分组
一种灵活且无损的方式,用于在多个可能相关但不符合去重条件的发现中,以组的形式可视化组织漏洞。例如,您可以包含应一起评估的发现,这些发现可以通过相同的操作来修复,或来自相同来源。
微不足道的发现
某个特定客户不关心的合法发现。
已知受影响组件
符合漏洞可被利用要求的组件。例如,packageA@1.0.3 符合名称、软件包类型和受影响版本或版本范围之一的 FAKECVE-2023-0001。
位置指纹
发现的位置信息指纹是攻击面上每个位置唯一的文本值。每个安全产品根据其攻击面类型定义此值。例如,SAST 包含文件路径和行号。
锁定文件
锁定文件详尽列出了应用程序的直接和间接依赖项,以确保软件包管理器的可重复构建。它 可能 也是一个依赖图导出,如 Gemfile.lock 文件的情况,但列出依赖关系 不是 必要的或保证的。
软件包管理器和软件包类型
软件包管理器
软件包管理器是一个管理项目依赖项的系统。
软件包管理器提供了一种安装新的依赖项(也称为“软件包”)的方法,管理软件包在文件系统上的存储位置,并提供发布您自己的软件包的功能。
软件包类型
每个软件包管理器、平台、类型或生态系统都有自己的惯例和协议来识别、定位和供应软件包。
以下表格列出了极狐GitLab 文档和软件工具中引用的一些软件包管理器和类型。
| 软件包类型 | 软件包管理器 |
|---|---|
| gem | Bundler |
| Packagist | Composer |
| Conan | Conan |
| go | go |
| maven | Gradle |
| Maven | |
| sbt | |
| npm | npm |
| yarn | |
| NuGet | NuGet |
| PyPI | Setuptools |
| pip | |
| Pipenv | |
| Poetry |
流水线安全选项卡
显示在关联的 CI 流水线中发现的发现的页面。
可能受影响组件
可能受到漏洞影响的软件组件。例如,在扫描已知漏洞的项目时,首先评估组件是否符合名称和软件包类型。在此阶段,它们 可能 受到漏洞影响,只有在确认它们属于受影响版本范围后,才已知受影响。
后过滤器
后过滤器有助于减少扫描器结果中的噪音和自动化手动任务。您可以指定标准,以根据扫描器结果更新或修改漏洞数据。例如,您可以标记发现为可能的误报,并自动解决不再检测到的漏洞。这些不是永久性操作,可以更改。
预过滤器
在分析之前进行的不可逆操作,用于过滤目标。这通常用于让用户减少范围和噪音以及加快分析速度。如果需要记录,则不应进行此操作,因为我们不存储与跳过/排除的代码或资产相关的任何内容。
示例:DS_EXCLUDED_PATHS 应该 根据提供的路径从扫描中排除文件和目录。
主标识符
发现的主标识符是每个发现唯一的值。发现的第一个标识符的外部类型和外部 ID 结合起来创建该值。
示例主标识符是 CVE,用于 Trivy。标识符必须稳定。后续扫描必须为同一发现返回相同的值,即使位置略有变化。
可达性
可达性指示项目中列为依赖项的组件是否在代码库中实际使用。
报告发现
由分析器生成的报告中唯一存在的发现,尚未持久化到数据库中。报告发现在导入到数据库后成为漏洞发现。
扫描类型(报告类型)
描述扫描的类型。这必须是以下之一:
- api_fuzzing
- container_scanning
- coverage_fuzzing
- dast
- dependency_scanning
- sast
- secret_detection
随着扫描器的增加,此列表可能会发生变化。
扫描器
可以扫描漏洞的软件(例如,Trivy)。生成的扫描报告通常不采用安全报告格式。
安全产品
与应用程序安全特定领域相关的功能组,由极狐GitLab 一流支持。
产品包括容器扫描、依赖扫描、动态应用程序安全测试 (DAST)、密钥检测、静态应用程序安全测试 (SAST) 和模糊测试。
这些产品中的每一个通常都包含一个或多个分析器。
安全报告格式
安全产品在创建 JSON 报告时遵循的标准报告格式。该格式由 JSON schema 描述。
安全仪表板
提供项目、群组或极狐GitLab 实例的所有漏洞的概览。漏洞仅从项目的默认分支上发现的发现中创建。
种子语料库
作为模糊目标初始输入提供的测试用例集。通常会大大加快模糊目标的速度。这可以是手动创建的测试用例,也可以是从以前的运行中由模糊目标自动生成的测试用例。
供应商
维护分析器的一方。因此,供应商负责将扫描器集成到极狐GitLab 并在其发展时保持兼容。供应商不一定是扫描器的作者或维护者,如使用开源或 OSS 项目作为基础解决方案的情况。对于作为极狐GitLab 分发或极狐GitLab 订阅一部分的扫描器,供应商列为极狐GitLab。
漏洞
对其环境安全性产生负面影响的缺陷。漏洞描述错误或弱点,不描述错误的位置(请参阅发现)。
每个漏洞映射到一个唯一的发现。
漏洞存在于默认分支中。发现(请参阅发现)是扫描器在 MR/功能分支中识别的所有潜在漏洞项。只有在合并到默认分支后,发现才成为漏洞。
漏洞发现
漏洞追踪
处理跨扫描匹配发现的责任,以便了解发现的生命周期。工程师和安全团队使用此信息来决定是否合并代码更改,以及查看未解决的发现及其何时引入。
通过比较位置指纹、主标识符和报告类型来跟踪漏洞。
漏洞发生
已弃用,请参阅发现。