Работа с уязвимостями¶
Просмотр списка уязвимостей¶
Список обнаруженных уязвимостей доступен в подразделе SCA -> Уязвимости. В этом разделе отображаются все уязвимости, выявленные модулями SCA и OSA за время их работы.
Таблица уязвимостей содержит следующую информацию:
- Уязвимость – идентификатор уязвимости (например, CVE) со ссылкой на ее индивидуальную страницу;
- Зависимость – компонент, в котором обнаружена уязвимость, с указанием версии;
- Связь — тип зависимости, в которой была обнаружена уязвимость (прямая или транзитивная);
- Окружение — среда использования зависимости (например, runtime, dev, main);
- Проект — проект, в котором зафиксировано использование уязвимой зависимости;
- CVSS 2 — оценка угрозы по шкале CVSS v2;
- CVSS 3 — оценка угрозы по шкале CVSS v3;
- CWE — категории (Common Weakness Enumeration), к которым относится уязвимость;
- Есть эксплойт — признак наличия публично известного эксплойта;
- Достижимо — информация о достижимости уязвимости в контексте использования компонента;
- Импакт — тип потенциального воздействия уязвимости (например, XSS, DoS, RCE и др.);
- Исправленная версия — версия зависимости, в которой уязвимость устранена;
- Найдено — дата и время обнаружения уязвимости.
Для удобства анализа список уязвимостей можно отфильтровать по следующим параметрам:
- проект;
- подразделение;
- категория и группа проектов;
- временной период публикации уязвимости;
- дата обнаружения;
- рейтинг и уровень угрозы CVSS v2 и CVSS v3;
- технология;
- окружение зависимости;
- тип связи зависимости (прямая или транзитивная);
- наличие эксплойта;
- достижимость;
- наличие исправления;
- классы CWE;
- импакт уязвимости.
Также доступен текстовый поиск по идентификатору уязвимости и связанным данным.
Достижимость¶
Для достижимых уязвимостей есть возможность просмотра визуализации путей и выгрузки их текстового представления
Страница уязвимости¶
Индивидуальная страница уязвимости предназначена для детального анализа конкретной уязвимости и всей связанной с ней информации в рамках платформы.
Дедупликация уязвимостей
Страница отображает единую дедуплицированную уязвимость, даже если она была обнаружена несколькими источниками данных (например, NVD, GitHub Advisories, БДУ ФСТЭК и др.). При этом пользователь может просмотреть оригинальные данные каждого источника отдельно.
Общая информация об уязвимости¶
В верхней части страницы отображается сводная информация об уязвимости:
- идентификатор уязвимости (например, CVE);
- даты публикации и обновления в источнике данных;
- наличие публично известного эксплойта;
- краткое описание уязвимости;
- связанные категории CWE.
Справа отображается наивысшая оценка уровня угрозы для наиболее новой версии CVSS с учетом всех источников.
Ниже можно увидеть разделение по уровням CVSS с указанием версии и соответствующего уровня угрозы.
Источники данных и оценки¶
Для уязвимости отображается список источников, в которых она была зафиксирована. Для каждого источника могут быть представлены:
- собственная оценка CVSS;
- версия CVSS;
- дополнительные атрибуты и метаданные источника.
Это позволяет сопоставлять данные из разных источников и учитывать расхождения в оценках при анализе рисков.
Затронутые зависимости и образы¶
На странице отображаются списки затронутых компонентов:
- зависимости, обнаруженные в SCA-проектах;
- пакеты и образы, проверенные модулем CodeScoring.OSA.
Такое разделение упрощает анализ уязвимости в различных контекстах использования и помогает точнее оценить область её влияния.
Связанные алерты¶
В нижней части страницы представлен список связанных алертов, сгенерированных политиками безопасности.
Для каждого алерта отображается:
- политика, в рамках которой он был создан;
- условия срабатывания;
- проект и этап разработки;
- уровень критичности;
- дата и время создания.
Это позволяет быстро понять, какие правила безопасности затрагивает уязвимость и где именно она влияет на проект.
Дополнительная информация¶
В правой части страницы также отображаются:
- ссылки на внешние ресурсы (NVD, CVE.org, GitHub и другие);
- внутренний идентификатор уязвимости в CodeScoring;
- дата последнего обновления данных.
