漏洞修复

修复#

修复是漏洞管理生命周期的第四阶段：检测、分级、分析、修复。

修复是发现漏洞根本原因并解决该原因、降低风险或两者兼而有之的过程。使用每个漏洞的详细信息页面中的信息来帮助您理解漏洞的性质并进行修复。

修复阶段的目标是解决或忽略漏洞。当您已经修复了漏洞的根本原因或者它不再存在时，漏洞就被解决了。当您决定不再需要进一步努力时，漏洞就被忽略了。

范围#

修复阶段的范围包括所有经过分析阶段并确认需要进一步行动的漏洞。要列出这些漏洞，请在漏洞报告中使用以下筛选条件：

• 状态： 已确认
• 活动： 有议题

记录漏洞#

如果您还没有，创建一个议题来记录您的调查和修复工作。如果您发现了类似的漏洞或同一漏洞再次被检测到，该文档将提供参考点。

修复漏洞#

使用分析阶段收集的信息来指导您修复漏洞。了解漏洞的根本原因对修复的有效性至关重要。

对于一些由 SAST 检测到的漏洞，极狐GitLab 可以：

• 提供从输入到漏洞代码行的完整数据路径，如果您使用的是极狐GitLab Advanced SAST。

当漏洞的根本原因被修复时，解决漏洞。

要做到这一点：

1. 将漏洞状态更改为 已解决。

2. 在为漏洞创建的议题中记录它是如何被修复的，然后关闭议题。

   如果解决的漏洞被重新引入并再次检测到，其记录将被恢复并其状态设置为 需要分级。

忽略漏洞#

在修复阶段的任何时候，您可能决定忽略漏洞，可能是因为您已经决定：

• 修复工作预计成本太高。
• 漏洞几乎没有风险。
• 漏洞的风险已经被缓解。
• 漏洞在您的环境中不成立。

当您忽略漏洞时：

1. 提供一个简短的评论，说明您为何忽略它。

2. 将漏洞状态更改为 已忽略。

3. 如果您为漏洞创建了议题，添加评论说明您已忽略该漏洞，然后关闭议题。

   如果在后续扫描中检测到已忽略的漏洞，它将被忽略。