漏洞风险评估数据

使用漏洞风险数据来帮助评估对您的环境的潜在影响。

严重性：每个漏洞都被分配了一个标准化的极狐 GitLab 严重性值。
对于公共漏洞和暴露 (CVE) 目录中的漏洞，可以通过漏洞详细信息页面或使用 GraphQL 查询检索以下数据：
- 利用可能性：漏洞预测评分系统 (EPSS) 得分。
- 已知漏洞的存在：已知被利用的漏洞 (KEV) 状态。

使用此数据来帮助优先安排补救和缓解措施。例如，具有中等严重性和高 EPSS 得分的漏洞可能比具有高严重性和低 EPSS 得分的漏洞需要更快的缓解。

EPSS#

History

在极狐GitLab 17.4 中被引入，使用名为 epss_querying 和 `epss_ingestion 的功能标志。默认情况下禁用。
在极狐GitLab 17.6 中，在 JihuLab.com 上启用。功能标志被重命名为 cve_enrichment_querying 和 cve_enrichment_ingestion。
在极狐GitLab 17.7 中 GA。功能标志 cve_enrichment_querying 和 cve_enrichment_ingestion 被移除。

EPSS 得分提供了对 CVE 目录中漏洞在未来 30 天内被利用可能性的估计。EPSS 为每个 CVE 分配一个介于 0 到 1 之间的得分（相当于 0% 到 100%）。

KEV#

History

引入于极狐 GitLab 17.7 中。

KEV 目录列出了已知被利用的漏洞。您应该优先处理 KEV 目录中的漏洞而不是其他漏洞。使用这些漏洞的攻击已经发生，并且攻击者可能知道利用方法。

可达性#

History

引入于极狐 GitLab 17.11 中。

可达性显示一个易受攻击的软件包是否在您的应用程序中被主动使用。与您的代码直接交互的软件包中的漏洞比未使用的依赖项中的漏洞风险更高。优先修复可达的漏洞，因为它们代表了攻击者可能利用的真实暴露点。

查询风险评估数据#

使用 GraphQL API 查询项目中漏洞的严重性、EPSS 和 KEV 值。

GraphQL API 中的 Vulnerability 类型有一个 cveEnrichment 字段，当 identifiers 字段包含 CVE 标识符时，该字段会被填充。cveEnrichment 字段包含漏洞的 CVE ID、EPSS 得分和 KEV 状态。EPSS 分数被四舍五入到小数点后两位。

例如，以下 GraphQL API 查询返回给定项目中的所有漏洞及其 CVE ID、EPSS 得分和 KEV 状态 (isKnownExploit)。在 GraphQL explorer 或任何其他 GraphQL 客户端中运行查询。

graphql
1{
2  project(fullPath: "<full/path/to/project>") {
3    vulnerabilities {
4      nodes {
5        severity
6        identifiers {
7          externalId
8          externalType
9        }
10        cveEnrichment {
11          epssScore
12          isKnownExploit
13          cve
14        }
15        reachability
16      }
17    }
18  }
19}

示例输出：

json
1{
2  "data": {
3    "project": {
4      "vulnerabilities": {
5        "nodes": [
6          {
7            "severity": "CRITICAL",
8            "identifiers": [
9              {
10                "externalId": "CVE-2019-3859",
11                "externalType": "cve"
12              }
13            ],
14            "cveEnrichment": {
15              "epssScore": 0.2,
16              "isKnownExploit": false,
17              "cve": "CVE-2019-3859"
18            }
19            "reachability": "UNKNOWN"
20          },
21          {
22            "severity": "CRITICAL",
23            "identifiers": [
24              {
25                "externalId": "CVE-2016-8735",
26                "externalType": "cve"
27              }
28            ],
29            "cveEnrichment": {
30              "epssScore": 0.94,
31              "isKnownExploit": true,
32              "cve": "CVE-2016-8735"
33            }
34            "reachability": "IN_USE"
35          },
36        ]
37      }
38    }
39  },
40  "correlationId": "..."
41}

漏洞优先级排序器#

状态：实验

使用 Vulnerability Prioritizer CI/CD 组件来帮助优先排序项目的漏洞（即 CVE）。该组件在 vulnerability-prioritizer 作业的输出中输出优先级报告。

漏洞按以下顺序列出：

已知被利用的漏洞 (KEV) 是最高优先级。
更高的 EPSS 得分（接近 1）被优先考虑。
严重性按 Critical 到 Low 排序。

仅检测到的依赖扫描和容器扫描的漏洞会被包含，因为漏洞优先级排序器 CI/CD 组件需要仅在公共漏洞和暴露 (CVE) 记录中可用的数据。此外，仅显示检测到（需要分类）和确认的漏洞。