极狐GitLab 安全仪表盘和安全中心
您可以使用安全仪表盘,查看有关安全扫描程序检测到的漏洞的趋势。 这些趋势显示在项目、群组和安全中心。
要使用安全仪表盘,您必须:
- 在一个项目中配置至少一个安全扫描器。
- 配置作业使用
reports
语法。 - 使用 GitLab Runner 11.5 或更高版本。如果您使用 SaaS 上的共享 runner,则您使用的是正确的版本。
当安全仪表盘更新时
安全仪表盘显示默认分支上的最新安全扫描结果。 安全扫描仅在默认分支更新时运行,因此安全仪表盘上的信息可能不会反映新发现的漏洞。
要运行每日安全扫描,配置计划流水线。
减少依赖扫描中的误报
要减少计划流水线中的依赖扫描中的误报,请确保:
- 在您的项目中包含一个锁定文件。锁定文件列出所有瞬态依赖项并跟踪它们的版本。
- Java 项目不能有锁定文件。
- Python 项目可以有锁定文件,但极狐GitLab 安全工具不支持它们。
- 将您的项目配置为持续交付。
查看流水线中的漏洞
要查看流水线中的漏洞:
- 在顶部栏上,选择 菜单 > 项目 并找到您的项目。
- 在左侧边栏中,选择 CI/CD > 流水线。
- 从列表中,选择您要检查漏洞的流水线。
- 选择 安全 选项卡。
扫描详细信息显示合并请求引入的漏洞,以及项目默认分支中最新成功流水线中的现有漏洞。
流水线由多个作业组成,例如 SAST 和 DAST 扫描。如果作业未能完成,安全仪表欧安不会显示 SAST 扫描器输出。例如,SAST 作业完成但 DAST 作业失败,则安全仪表欧安不会显示 SAST 结果。失败时,分析器会输出退出代码。
查看每次扫描的漏洞总数
查看每次扫描的漏洞总数:
- 在顶部栏上,选择 菜单 > 项目 并找到您的项目。
- 在左侧边栏中,选择 CI/CD > 流水线。
- 选择一个分支的 状态。
- 选择 安全 选项卡。
扫描详细信息显示合并请求引入的漏洞,以及项目默认分支中最新成功流水线中的现有漏洞。
下载安全扫描输出
- 引入于 13.10 版本
- 优化于 14.2 版本
根据安全扫描程序的类型,您可以下载:
- 包含安全扫描器报告的 JSON 产物。
- 包含安全扫描程序扫描的 URL 和端点的 CSV 文件。
要下载安全扫描输出:
- 在顶部栏上,选择 菜单 > 项目 并找到您的项目。
- 在左侧边栏中,选择 CI/CD > 流水线。
- 选择一个分支的 状态。
- 选择 安全 选项卡。
- 在 扫描详情 中,选择 下载结果:
- 要下载 JSON 文件,请选择 JSON 产物。
- 要下载 CSV 文件,请选择 下载扫描的资源。
查看项目中随时间变化的漏洞
项目安全仪表盘显示了一段时间内的漏洞总数,以及长达 365 天的历史数据。数据每天 01:15 UTC 刷新。它显示所有漏洞的统计信息。
要查看一段时间内的漏洞总数:
- 在顶部栏上,选择 菜单 > 项目 并找到您的项目。
- 在左侧边栏上,选择 安全与合规 > 安全仪表盘。
- 过滤并搜索您需要的内容。
- 要按严重性过滤图表,请选择图例名称。
- 要查看特定时间范围,请使用时间范围句柄 ()。
- 要查看图表的特定区域,请选择最左侧的图标 () 并在图表上拖动。
- 要重置为原始范围,请选择 删除选择 ()。
下载漏洞图表
要下载漏洞图表的 SVG 图表:
- 在顶部栏上,选择 菜单 > 项目 并找到您的项目。
- 在左侧边栏中,选择 安全与合规 > 安全仪表盘。
- 选择 将图表另存为图片 ()。
查看群组中随时间变化的漏洞
群组安全仪表盘概述了在群组及其子组中的项目的默认分支中发现的漏洞。
要查看群组中随时间变化的漏洞:
- 在顶部栏上,选择 菜单 > 群组 并选择一个群组。
- 选择 安全 > 安全仪表盘。
- 将鼠标悬停在图表上,获取有关漏洞的更多详细信息。
- 您可以显示 30、60 或 90 天时间范围内的漏洞趋势(默认为 90 天)。
- 要查看超过 90 天时间范围的聚合数据,请使用 VulnerabilitiesCountByDay GraphQL API。极狐GitLab 将数据保留 365 天。
查看群组的项目安全状态
使用群组安全仪表盘查看项目的安全状态。安全状态基于检测到的漏洞数量。
查看群组的项目安全状态:
- 在顶部栏上,选择 菜单 > 群组 并选择一个群组。
- 选择 安全 > 安全仪表盘。
项目按漏洞严重程度分级。排除的漏洞被排除在外。
要查看漏洞,请转到该群组的漏洞报告。
项目漏洞级别
级别 | 描述 |
---|---|
F | 一个或更多 critical 漏洞
|
D | 一个或更多 high 或 unknown 漏洞
|
C | 一个或更多 medium 漏洞
|
B | 一个或更多 low 漏洞
|
A | 零漏洞 |
安全中心
安全中心是一个个人空间,您可以在其中查看所有项目的漏洞。它显示了项目默认分支中存在的漏洞。
安全中心包括:
- 群组安全仪表盘。
- 漏洞报告。
- 用于配置要显示哪些项目的设置区域。
查看安全中心
要查看安全中心,请在顶部栏上选择 菜单 > 安全。
将项目添加到安全中心
将项目添加到安全中心:
- 在顶部栏上,选择 菜单 > 安全。
- 在左侧边栏,选择 设置,或选择 添加项目。
- 使用 搜索您的项目 文本框搜索和选择项目。
- 选择 添加项目。
添加项目后,安全仪表盘和漏洞报告会显示在这些项目的默认分支中发现的漏洞。