分析器

分析是漏洞管理生命周期的第三阶段：检测、分类、分析、修复。

分析是评估漏洞细节以确定是否可以和应该修复的过程。漏洞可以批量分类，但分析必须单独进行。根据每个漏洞的严重性和相关风险来优先分析。作为风险管理框架的一部分，分析有助于确保资源应用在最有效的地方。使用 安全仪表板 和 漏洞报告 中包含的数据来优先考虑你的分析。

范围#

分析阶段的范围是所有经过分类阶段并确认需要进一步行动的漏洞。要列出这些漏洞，请在漏洞报告中使用以下过滤条件：

• 状态: 已确认

风险分析#

你应该根据风险评估框架进行漏洞分析。如果你尚未使用风险评估框架，可以考虑以下选项：

• SANS Institute 漏洞管理框架
• OWASP 威胁和防护矩阵 (TaSM)

计算漏洞的风险评分取决于你组织特定的标准。基本的风险评分公式是：

风险 = 可能性 x 影响

可能性和影响的数字根据漏洞和你的环境而有所不同。确定这些数字并计算风险评分可能需要一些在极狐 GitLab 中不可用的信息。相反，你必须根据你的风险管理框架来计算这些。在计算这些之后，将它们记录在你为漏洞提出的议题中。

通常，花费在漏洞上的时间和精力应与其风险成比例。例如，你可能选择仅分析关键和高风险的漏洞，并忽略其他。你应该根据你的漏洞风险阈值做出这个决定。

分析策略#

使用风险评估框架来帮助指导你的漏洞分析过程。以下策略也可能有所帮助。

优先考虑最高严重性的漏洞#

为了帮助识别最高严重性的漏洞：

• 如果你尚未在分类阶段完成此操作，请使用漏洞优先级排序 CI/CD 组件来帮助优先分析漏洞。
• 对于每个群组，请在漏洞报告中使用以下过滤条件按严重性优先分析漏洞：
  • 状态: 已确认
  • 活动: 仍然检测到
  • 群组依据: 严重性
• 在你的最高优先级项目上优先进行漏洞分类 - 例如，部署到客户的应用程序。

优先考虑已有解决方案的漏洞#

某些漏洞已有解决方案，例如“从版本 13.2 升级到 13.8”。这减少了分析和修复这些漏洞所需的时间。某些解决方案仅在启用GitLab Duo 时可用。

在漏洞报告中使用以下过滤条件来识别已有解决方案的漏洞。

• 对于 SBOM 扫描检测到的漏洞，使用以下条件：
  • 状态: 已确认
  • 活动: 有解决方案
• 对于 SAST 检测到的漏洞，使用以下条件：
  • 状态: 已确认
  • 活动: 可用漏洞解决方案

漏洞细节和行动#

每个漏洞都有一个 漏洞页面，其中包含检测时间、检测方式、严重性评级和完整日志的详细信息。使用这些信息来帮助分析漏洞。

以下提示也可能帮助你分析漏洞：

• 使用 GitLab Duo 漏洞解释 来帮助解释漏洞并建议修复。仅适用于 SAST 检测到的漏洞。
• 使用第三方培训供应商提供的 安全培训 来帮助理解特定漏洞的性质。

在分析每个确认的漏洞后，你应该：

• 如果你决定应该修复它，则将其状态保持为 已确认。
• 如果你决定不应该修复它，则将其状态更改为 已忽略。

如果你确认了一个漏洞：

1. 创建一个议题 来跟踪、记录和管理修复工作。
2. 继续进入漏洞管理生命周期的修复阶段。

如果你忽略了一个漏洞，你必须提供一个简短的评论，说明为什么你已经忽略了它。如果在后续扫描中检测到已忽略的漏洞，将被忽略。漏洞记录是永久的，但你可以随时更改漏洞的状态。