漏洞严重性级别

极狐GitLab 漏洞分析器会尽可能尝试返回漏洞严重性级别。以下是可用的 GitLab 漏洞严重性级别列表,从最严重到最不严重排列:

  • Critical
  • High
  • Medium
  • Low
  • Info
  • Unknown

极狐GitLab 分析器会尽可能尝试返回漏洞严重性级别,但它们可能不总是正确。第三方供应商提供的分析器和扫描器可能不遵循相同的分类。

严重严重性

被识别为严重级别的漏洞应该立即调查。此级别的漏洞会假定漏洞被利用能够导致整个系统或数据损坏。严重级别的漏洞示例包括命令/代码注入和 SQL 注入。这些漏洞的在 CVSS 3.1 中的评分都在 9-10 之间。

高危严重性

高危漏洞是可以被描述为能欧导致攻击者访问应用程序资源或造成数据泄露的缺陷。高危漏洞的示例包括外部 XML 实体注入(XXE)、服务器端请求伪造(SSRF)、本地文件包含/路径遍历和某些形式的跨站脚本(XSS)。通常,这些缺陷的在 CVSS 3.1 中的评分都在 7.0-8.9 之间。

中等严重性

中危漏洞通常是由系统配置错误或缺少安全控制引发的。这些漏洞的泄露可能hi导致对受限数据的访问或与其他缺陷结合使用以获得未经授权的系统或资源访问。中危漏洞的示例包括反射型 XSS、不正确的 HTTP 会话处理和缺少安全控制。这些缺陷的在 CVSS 3.1 中的评分都在 4.0-6.9 之间。

低等严重性

低危漏洞包含可能不直接可利用但引入了不必要的弱点到应用程序或系统中的缺陷。这些缺陷通常由于缺少安全控制或不必要地披露应用程序环境信息。低危漏洞的示例包括缺少 Cookie 安全指令、详细的错误或异常消息。这些缺陷在 CVSS 3.1 中的评分都在 0.1-3.9 之间。

信息级别

信息级别漏洞包含可能有价值的信息,但不一定与特定缺陷或弱点相关。通常这些问题没有 CVSS 评分。

未知严重性

被识别为此等级别的问题没有足够的上下文来明确显示严重性。

极狐GitLab 漏洞分析器包括流行的开源扫描工具。每个开源扫描工具都提供自己的原生漏洞严重性级别值。这些值可以是以下之一:

原生漏洞严重性级别类型 示例
字符串 WARNING, ERROR, Critical, Negligible
整数 1, 2, 5
CVSS v2.0 评级 (AV:N/AC:L/Au:S/C:P/I:P/A:N)
CVSS v3.1 定性严重程度评级 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

要提供一致的漏洞严重性等级值,极狐GitLab 漏洞分析器将上述值转换为标准化的极狐GitLab 漏洞严重性等级,如下表所示:

容器扫描

极狐GitLab 分析器 输出严重性级别? 原生漏洞严重性级别类型 原生漏洞严重性级别示例
container-scanning Yes 字符串 Unknown, Low, Medium, High, Critical

当可用时,供应商严重性级别优先级更高,被分析器使用。如果不可用,则回退到 CVSS v3.1 评分。如果这也不可用,则使用 CVSS v2.0 评分。

DAST

极狐GitLab 分析器 输出严重性级别? 原生漏洞严重性级别类型 原生漏洞严重性级别示例
Browser-based DAST Yes 字符串 HIGH, MEDIUM, LOW, INFO

API 安全测试

极狐GitLab 分析器 输出严重性级别? 原生漏洞严重性级别类型 原生漏洞严重性级别示例
API security testing Yes 字符串 HIGH, MEDIUM, LOW

依赖扫描

极狐GitLab 分析器 输出严重性级别? 原生漏洞严重性级别类型 原生漏洞严重性级别示例
gemnasium Yes CVSS v2.0 评级 和 CVSS v3.1 定性严重程度评级 1 (AV:N/AC:L/Au:S/C:P/I:P/A:N), CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

CVSS v3.1 评级用来评估严重等级。如果不适用,使用 CVSS v2.0 评级。

模糊测试

所有的模糊测试结果都会被报告为未知。它们应该被审核并手动分类管理以找到可利用的缺陷并优先修复。

SAST

极狐GitLab 分析器 输出严重性级别? 原生漏洞严重性级别类型 原生漏洞严重性级别示例
sobelow Yes 不适用 硬编码所有严重等级为 Unknown
SpotBugs Yes 整数 1, 2, 3, 11, 12, 18
pmd-apex Yes 整数 1, 2, 3, 4, 5
kubesec Yes 字符串 CriticalSeverity, InfoSeverity
semgrep Yes 字符串 error, warning, note, none

IaC 扫描

极狐GitLab 分析器 输出严重性级别? 原生漏洞严重性级别类型 原生漏洞严重性级别示例
kics Yes String error, warning, note, none (在分析器版本 3.7.0 及更高版本中被映射为 info。)

密钥检测

极狐GitLab secrets 分析器将所有严重等级硬编码为 Critical