漏洞报告

漏洞报告提供有关默认分支扫描的漏洞信息。包含所有成功作业的累积结果,无论流水线是否成功。流水线中的扫描结果仅在流水线中的所有作业完成后才会被提取。

该报告可供对项目、群组和安全中心拥有正确角色的用户使用。

在所有级别,漏洞报告都包含:

  • 每个严重级别的漏洞总数。
  • 常见漏洞属性的过滤器。
  • 每个漏洞的详细信息,以表格布局显示。

活动 列包含指示针对该行中的漏洞采取的活动(如果有)的图标:

  • 议题 :链接到创建漏洞的议题。有关更多详细信息,请阅读为漏洞创建议题
  • Wrench :漏洞已修复。
  • 误报 :扫描器确定此漏洞为误报。

要打开为漏洞创建的议题,请将鼠标悬停在 活动 条目上,然后选择链接。 议题图标 ( ) 展示议题的状态。如果支持 Jira 议题,则 活动 条目中的议题链接会链接到 Jira 中的议题。与极狐GitLab 议题不同,Jira 议题的状态不会显示在极狐GitLab UI 中。

Example project-level Vulnerability Report

项目级漏洞报告

在项目级别,漏洞报告还包含:

  • 显示更新时间的时间戳,包括指向最新流水线的链接。
  • 最近流水线中发生的故障数。选择失败通知,查看流水线页面的 失败的作业 选项卡。

当漏洞源自多项目流水线设置时,此页面显示源自所选项目的漏洞。

查看项目级漏洞报告

查看项目级漏洞报告:

  1. 在左侧边栏中,选择 搜索或转到 并找到您的项目。
  2. 选择 安全 > 漏洞报告

漏洞报告操作

在漏洞报告中,您可以:

漏洞报告过滤器

您可以过滤漏洞报告,以仅关注匹配特定标准的漏洞。

可用过滤器为:

  • 状态:已检测、已确认、已忽略、已解决。有关状态的详细信息,请参见漏洞状态值
  • 严重程度:Critical、High、Medium、Low、Info 和 Unknown。
  • 工具:获取更多信息,查看工具过滤器
  • 项目:获取更多信息,查看项目过滤器
  • 活动:获取更多信息,查看活动过滤器

过滤器的标准组合在一起,仅显示符合所有标准的漏洞,活动过滤器例外。有关其工作原理的更多详细信息,请参阅活动过滤器

过滤漏洞列表

过滤漏洞列表:

  1. 选择一个过滤器。
  2. 从下拉列表中选择值。
  3. 对每个所需的过滤器重复上述步骤。

选择每个过滤器后:

  • 匹配漏洞列表已更新。
  • 漏洞严重性总计已更新。

工具过滤器

第三方工具过滤器引入于极狐GitLab 13.12。

工具过滤器允许您专注于选定检测到漏洞的工具。

使用工具过滤器时,您可以选择:

  • 所有工具(默认)。
  • 极狐GitLab 提供的工具。
  • 任何集成的第三方工具。

有关每个可用工具的详细信息,请参阅安全扫描工具

项目过滤器

项目过滤器的内容取决于当前级别:

  • 安全中心:仅限您添加到个人安全中心的项目。
  • 群组级别:群组中的所有项目。
  • 项目级别:不适用。

活动过滤器

活动过滤器的行为与其他过滤器不同。选定的值形成互斥集,允许精确定位所需的漏洞记录。此外,并非所有选项都可以组合选择。

使用活动过滤器时的选择行为:

  • 所有:具有任何活动状态的漏洞(与忽略此过滤器相同)。选择此选项会取消选择任何其他活动过滤器选项。
  • 无活动:仅没有相关议题或不再检测到的漏洞。选择此选项会取消选择任何其他活动过滤器选项。
  • 有议题:只有具有一个或多个相关议题的漏洞。不包括不再检测到的漏洞。
  • 不再检测:只有在 default 分支的最新流水线扫描中不再检测到的漏洞。不包括具有一个或多个相关议题的漏洞。
  • 有议题不再检测:只有具有一个或多个相关议题并且在 default 分支的最新流水线扫描中不再检测到的漏洞。

查看漏洞的详细信息

要查看漏洞的更多详细信息,请选择漏洞的 描述。在打开的漏洞详情页面中查看。

查看易受攻击的源位置

一些安全扫描程序会输出潜在漏洞的文件名和行号。当该信息可用时,漏洞的详细信息会在默认分支中包含指向相关文件的链接。

要查看相关文件,请在漏洞详细信息中选择文件名。

更改漏洞状态

  • 提供评论和忽略原因的功能引入于 16.0 版本。

从漏洞报告中,您可以更改一个或多个漏洞的状态。

要更改表格中的漏洞状态:

  1. 选中您要更新其状态的每个漏洞旁边的复选框。要全选,请选中表格标题中的复选框。
  2. 设置状态 下拉列表中,选择所需的状态。
  3. 如果选择了 已忽略 状态,请在 设置忽略原因 下拉列表中选择所需的原因。
  4. 添加评论 输入框中,您可以提供评论。对于 已忽略 状态,需要评论。
  5. 选择 更改状态

Project Vulnerability Report

按检测日期对漏洞进行排序

默认情况下,漏洞按严重性级别排序,最严重的漏洞列在顶部。

要按检测到每个漏洞的日期对漏洞进行排序,请单击 “检测到” 列标题。

导出漏洞详细信息

您可以导出漏洞报告中列出的漏洞的详细信息。导出格式为 CSV(逗号分隔值)。请注意,所有漏洞都包括在内,因为过滤器不适用于导出。

包括的字段是:

  • 群组名称
  • 项目名称
  • 扫描器类型
  • 扫描器名称
  • 状态
  • 漏洞
  • 详细信息
  • 更多信息
  • 严重级别
  • CVE (Common Vulnerabilities and Exposures)
  • CWE (Common Weakness Enumeration)
  • 其它标识符
  • 检测时间
  • 位置
  • 活动:如果漏洞在默认分支上被解决,则返回 true;如果未被解决,则返回 false
  • 评论

以 CSV 格式导出详细信息

要导出漏洞报告中列出的所有漏洞的详细信息,请选择 导出

从数据库中检索详细信息,然后将 CSV 文件下载到您的本地计算机。

note 如果您的项目包含数千个漏洞,则可能需要几分钟才能开始下载。在下载完成之前不要关闭页面。

忽略漏洞

当您评估一个漏洞,并决定不需要对其执行更多操作时,您可以将其标记为 已忽略。在未来的扫描中检测到被忽略的漏洞时,不会出现在合并请求安全部件中。

当在项目和群组中忽略漏洞时,会记录以下内容:

  • 忽略漏洞的人员。
  • 忽略漏洞的日期和时间。
  • (可选)忽略原因。

漏洞记录无法删除,因此永久记录始终保留。

您可以忽略项目和群组中的漏洞:

  1. 在安全仪表盘中选择漏洞。
  2. 在右上角的 状态 下拉列表中,选择 已忽略
  3. 可选。添加忽略原因并选择 保存评论

要撤消此操作,请从同一菜单中选择不同的状态。

手动添加漏洞发现

  • 引入于 14.9 版本。默认禁用。
  • 在 JihuLab.com 上启用于 14.10 版本。
  • 功能标志 new_vulnerability_form 删除于 15.0 版本。

要从您的项目级漏洞报告页面添加新的漏洞发现:

  1. 在左侧边栏中,选择 搜索或转到 并找到您的项目。
  2. 在左侧边栏中,选择 安全 > 漏洞报告
  3. 点击 提交漏洞
  4. 填写字段并提交表格。

您将跳转到新创建的漏洞的详细信息页面。手动创建的记录显示在群组、项目和安全中心漏洞报告中。要过滤它们,请使用通用工具过滤器。

漏洞分组

  • 引入于极狐GitLab 16.4。默认禁用。
  • 在 JihuLab.com 上启用于极狐GitLab 16.5。

对漏洞报告进行分组:

  1. 漏洞报告 过滤器下方,选择 分组方式 下拉列表。
  2. 选择分组方式:按状态或严重性分组。

要查看群组中包含的内容,请选择一个类别以展开报告并查看相关漏洞。

运营漏洞

引入于 14.6 版本

运营漏洞选项卡列出了由 cluster_image_scanner 发现的漏洞。 此选项卡显示在项目、群组和安全中心漏洞报告上。

Operational Vulnerability Tab