漏洞严重等级
- Tier: 旗舰版
- Offering: JihuLab.com, 私有化部署
极狐GitLab漏洞分析器会尽量在可能的情况下返回漏洞严重性等级值。以下是极狐GitLab漏洞严重性等级的列表,按严重性从高到低排列:
- Critical
- High
- Medium
- Low
- Info
- Unknown
极狐GitLab分析器努力符合以下严重性描述,但它们可能并不总是正确。第三方供应商提供的分析器和扫描器可能不会遵循相同的分类。
严重的严重性
在严重严重性级别识别出的漏洞应立即进行调查。假设利用此级别的漏洞可能导致系统或数据完全被破坏。严重严重性漏洞的示例包括命令/代码注入和 SQL 注入。通常,这些漏洞的 CVSS 3.1 评分在 9.0-10.0 之间。
高严重性
高严重性漏洞可能导致攻击者访问应用程序资源或意外暴露数据。高严重性漏洞的示例包括外部 XML 实体注入 (XXE)、服务器端请求伪造 (SSRF)、本地文件包含/路径遍历以及某些形式的跨站脚本攻击 (XSS)。通常,这些漏洞的 CVSS 3.1 评分在 7.0-8.9 之间。
中等严重性
中等严重性漏洞通常是由于系统配置错误或缺乏安全控制而引起。这些漏洞的利用可能导致访问有限的数据,或者可能与其他漏洞结合使用,以获得意外的系统或资源访问。中等严重性漏洞的示例包括反射性 XSS、错误的 HTTP 会话处理和缺少安全控制。通常,这些漏洞的 CVSS 3.1 评分在 4.0-6.9 之间。
低严重性
低严重性漏洞包含可能无法直接利用但会给应用程序或系统带来不必要弱点的缺陷。这些缺陷通常是由于缺少安全控制或不必要地披露应用程序环境信息造成的。低严重性漏洞的示例包括缺少 cookie 安全指令、冗长的错误或异常消息。通常,这些漏洞的 CVSS 3.1 评分在 0.1-3.9 之间。
信息严重性
信息级别严重性漏洞包含可能有价值的信息,但不一定与特定缺陷或弱点相关。通常这些问题没有 CVSS 评分。
未知严重性
在此级别识别的问题没有足够的上下文来清楚地展示严重性。
极狐GitLab漏洞分析器包括流行的开源扫描工具。每个开源扫描工具提供其自身的原生漏洞严重性等级值。这些值可以是以下之一:
| 原生漏洞严重性等级类型 | 示例 |
|---|---|
| 字符串 | WARNING, ERROR, Critical, Negligible |
| 整数 | 1, 2, 5 |
| CVSS v2.0 评分 | (AV:N/AC:L/Au:S/C:P/I:P/A:N) |
| CVSS v3.1 定性严重性评分 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
为了提供一致的漏洞严重性等级值,极狐GitLab漏洞分析器从上述值转换为标准化的极狐GitLab漏洞严重性等级,如下表所示:
容器扫描
| 极狐GitLab分析器 | 是否输出严重性等级? | 原生严重性等级类型 | 原生严重性等级示例 |
|---|---|---|---|
| container-scanning | 是 | 字符串 | Unknown, Low, Medium, High, Critical |
如果可用,供应商的严重性等级优先,并由分析器使用。如果不可用,则回落到 CVSS v3.1 评分。如果这也不可用,则使用 CVSS v2.0 评分。
DAST
| 极狐GitLab分析器 | 是否输出严重性等级? | 原生严重性等级类型 | 原生严重性等级示例 |
|---|---|---|---|
| 基于浏览器的 DAST | 是 | 字符串 | HIGH, MEDIUM, LOW, INFO |
API 安全测试
| 极狐GitLab分析器 | 是否输出严重性等级? | 原生严重性等级类型 | 原生严重性等级示例 |
|---|---|---|---|
| API 安全测试 | 是 | 字符串 | HIGH, MEDIUM, LOW |
依赖扫描
| 极狐GitLab分析器 | 是否输出严重性等级? | 原生严重性等级类型 | 原生严重性等级示例 |
|---|---|---|---|
| gemnasium | 是 | CVSS v2.0 评分 和 CVSS v3.1 定性严重性评分 1 | (AV:N/AC:L/Au:S/C:P/I:P/A:N), CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
使用 CVSS v3.1 评分来计算严重性等级。如果不可用,则使用 CVSS v2.0 评分。
模糊测试
所有模糊测试结果均报告为未知。应手动审核和分类,以发现可利用的故障并优先进行修复。
SAST
| 极狐GitLab分析器 | 是否输出严重性等级? | 原生严重性等级类型 | 原生严重性等级示例 |
|---|---|---|---|
| kubesec | 是 | 字符串 | CriticalSeverity, InfoSeverity |
| pmd-apex | 是 | 整数 | 1, 2, 3, 4, 5 |
| semgrep | 是 | 字符串 | error, warning, note, none |
| sobelow | 是 | 不适用 | 将所有严重性等级硬编码为 Unknown |
| SpotBugs | 是 | 整数 | 1, 2, 3, 11, 12, 18 |
IaC 扫描
| 极狐GitLab分析器 | 是否输出严重性等级? | 原生严重性等级类型 | 原生严重性等级示例 |
|---|---|---|---|
| kics | 是 | 字符串 | error, warning, note, none (在分析器版本 3.7.0 及以上中映射为 info) |
KICS 严重性映射
KICS 分析器将其输出映射到 SARIF 严重性,然后映射到极狐GitLab严重性。使用下表查看极狐GitLab漏洞报告中的相应严重性。
| KICS 严重性 | KICS SARIF 严重性 | 极狐GitLab严重性 |
|---|---|---|
| CRITICAL | error | Critical |
| HIGH | error | Critical |
| MEDIUM | warning | Medium |
| LOW | note | Info |
| INFO | none | Info |
| invalid | none | Info |
注意,虽然 KICS 和极狐GitLab都定义了High严重性,但 SARIF 没有,这意味着 KICS 中的HIGH漏洞被映射为极狐GitLab中的Critical。这是预期的。