Работа с уязвимостями

Просмотр списка уязвимостей

Список обнаруженных уязвимостей доступен в подразделе SCA -> Уязвимости. В этом разделе отображаются все уязвимости, выявленные модулями SCA и OSA за время их работы.

Таблица уязвимостей содержит следующую информацию:

  • Уязвимость – идентификатор уязвимости (например, CVE) со ссылкой на ее индивидуальную страницу;
  • Зависимость – компонент, в котором обнаружена уязвимость, с указанием версии;
  • Связь — тип зависимости, в которой была обнаружена уязвимость (прямая или транзитивная);
  • Окружение — среда использования зависимости (например, runtime, dev, main);
  • Проект — проект, в котором зафиксировано использование уязвимой зависимости;
  • Статус — статус триажа уязвимости;
  • CVSS 2 — оценка угрозы по шкале CVSS v2;
  • CVSS 3 — оценка угрозы по шкале CVSS v3;
  • CVSS 4 — оценка угрозы по шкале CVSS v4;
  • Эксплуатация — текущее состояние эксплуатируемости уязвимости по оценке SSVC;
  • Автоматизируемо — возможность автоматизировать эксплуатацию уязвимости по оценке SSVC;
  • Техническое влияние — техническое влияние уязвимости по оценке SSVC;
  • EPSS — вероятность экплуатации уязвимости по оценке EPSS;
  • CWE — категории (Common Weakness Enumeration), к которым относится уязвимость;
  • Есть эксплойт — признак наличия публично известного эксплойта;
  • Достижимо — информация о достижимости уязвимости в контексте использования компонента;
  • Импакт — тип потенциального воздействия уязвимости (например, XSS, DoS, RCE и др.);
  • Исправленная версия — версия зависимости, в которой уязвимость устранена;
  • Найдено — дата и время обнаружения уязвимости.

Для удобства анализа список уязвимостей можно отфильтровать по следующим параметрам:

  • проект;
  • подразделение;
  • категория и группа проектов;
  • временной период публикации уязвимости;
  • дата обнаружения;
  • рейтинг и уровень угрозы CVSS v2, CVSS v3 и CVSSv4;
  • технология;
  • окружение зависимости;
  • тип связи зависимости (прямая или транзитивная);
  • наличие эксплойта;
  • достижимость;
  • наличие исправления;
  • наличие оценки SSVC;
  • процент EPSS;
  • классы CWE;
  • импакт уязвимости;
  • статус;
  • обоснование;
  • ответ.

Также доступен текстовый поиск по идентификатору уязвимости и связанным данным.

Триаж

Триаж позволяет вручную задать статус уязвимости, отражающий её реальное влияние на проект и план действий команды. Функция реализована в соответствии со стандартом CycloneDX Vulnerability Exploitability.

Чтобы выполнить триаж, выберите одну или несколько уязвимостей в списке и нажмите кнопку Триаж над таблицей. Откроется модальное окно со следующими полями:

  • Статус — статус уязвимости, отражающий её применимость к проекту;
  • Обоснование — причина присвоения статуса Не затронут;
  • Ответ — запланированный или реализованный ответ на уязвимость;
  • Детали — текстовое поле для дополнительных комментариев или контекста.

В модальном окне триажа используются следующие наборы значений.

Значения статуса

ЗначениеОписание
Без статусаСтатус триажа не назначен.
АктивенУязвимость считается применимой к проекту и остается открытой для отслеживания.
ПодтвержденУязвимость проверена, и ее влияние на проект подтверждено.
Не затронутУязвимость проверена и не влияет на проект в текущем контексте использования. Для пояснения причины используется обоснование.
ЛожноположительныйОбнаружение считается неприменимым к указанному компоненту или проекту.

Значения обоснования

Обоснование поясняет, почему для уязвимости выбран статус Не затронут.

ЗначениеОписание
Код отсутствуетУязвимый код не входит в поставляемое приложение, артефакт, образ или пакет.
Код недостижимУязвимый код присутствует, но недоступен через пути выполнения проекта.
Требуется настройкаДля эксплуатации требуется настройка, которая не включена в проекте.
Требуется зависимостьДля эксплуатации требуется дополнительная зависимость, отсутствующая в проекте или среде выполнения.
Требуется окружениеДля эксплуатации требуется операционная система, платформа, модель развертывания или среда выполнения, которые не используются проектом.
Защищено компиляторомНастройки компилятора или сборки предотвращают эксплуатацию уязвимого состояния.
Защищено во время выполненияЗащита во время выполнения предотвращает эксплуатацию в текущем контексте приложения.
Защищено на периметреПериметровые меры, например сегментация сети, контроль доступа или фильтрация трафика, предотвращают возможность эксплуатации.
Защищено компенсирующими мерамиДругие компенсирующие меры снижают или предотвращают возможность эксплуатации.

Значения ответа

Ответ фиксирует запланированное или реализованное действие по уязвимости.

ЗначениеОписание
Невозможно исправитьУязвимость невозможно исправить в текущий момент из-за технических ограничений, поставщика или совместимости.
Исправление не планируетсяКоманда приняла решение не устранять уязвимость.
ОбновитьЗатронутую зависимость, пакет, образ или компонент нужно обновить до исправленной версии.
ОткатитьЗатронутую зависимость, пакет, образ или компонент нужно откатить до незатронутой версии.
Доступно обходное решениеДоступно обходное решение, если прямое исправление недоступно или еще не применено.

После сохранения присвоенный статус отображается в колонке Статус списка уязвимостей и доступен для фильтрации.

Triage status

Достижимость

Для достижимых уязвимостей есть возможность просмотра визуализации путей и выгрузки их текстового представления

Vuln reachability

Страница уязвимости

Индивидуальная страница уязвимости предназначена для детального анализа конкретной уязвимости и всей связанной с ней информации в рамках платформы.

Дедупликация уязвимостей

Страница отображает единую дедуплицированную уязвимость, даже если она была обнаружена несколькими источниками данных (например, NVD, GitHub Advisories, БДУ ФСТЭК и др.). При этом пользователь может просмотреть оригинальные данные каждого источника отдельно.

Общая информация об уязвимости

В верхней части страницы отображается сводная информация об уязвимости:

  • идентификатор уязвимости (например, CVE);
  • даты публикации, отзыва (если есть) и обновления в источнике данных;
  • наличие публично известного эксплойта;
  • является ли уязвимость протестной;
  • использование уязвимости в ПО-вымогателе;
  • краткое описание уязвимости;
  • связанные категории CWE.

В качестве дат публикаций и отзыва отображаются самые ранние даты из всех источников. В качестве даты обновления - самая поздняя дата.

Идентификатор уязвимости и краткое описание отображаются из источников в порядке приоритета:

  • CVE.ORG;
  • GHSA;
  • Kaspersky;
  • BDU;
  • Остальные источники в алфавитном порядке.

Vuln common info

Справа отображается наивысшая оценка уровня угрозы для наиболее новой версии CVSS с учетом всех источников.

Оценка, уровень угрозы и остальные метрики отображаются из источника с наивысшей оценкой для данной версии CVSS.

Ниже также могут быть представлены:

  • разделение по уровням CVSS с указанием версии и соответствующего уровня угрозы;
  • вектор SSVC категоризации уязвимости;
  • EPSS оценка вероятности эксплуатации;

Vuln scores

Источники данных и оценки

Для уязвимости отображается список источников, в которых она была зафиксирована. Для каждого источника могут быть представлены:

  • собственная оценка CVSS;
  • версия CVSS;
  • вектор SSVC категоризации уязвимости;
  • EPSS оценка вероятности эксплуатации уязвимости;
  • дополнительные атрибуты и метаданные источника.

Это позволяет сопоставлять данные из разных источников и учитывать расхождения в оценках при анализе рисков.

Vuln sources

Затронутые зависимости и образы

На странице отображаются списки затронутых компонентов:

  • зависимости, обнаруженные в SCA-проектах;
  • пакеты и образы, проверенные модулем CodeScoring.OSA.

Такое разделение упрощает анализ уязвимости в различных контекстах использования и помогает точнее оценить область её влияния.

Vuln dependencies

Связанные алерты

В нижней части страницы представлен список связанных алертов, сгенерированных политиками безопасности.

Для каждого алерта отображается:

  • политика, в рамках которой он был создан;
  • условия срабатывания;
  • проект и этап разработки;
  • уровень критичности;
  • дата и время создания.

Это позволяет быстро понять, какие правила безопасности затрагивает уязвимость и где именно она влияет на проект.

Vuln alerts

Дополнительная информация

В правой части страницы также отображаются:

  • ссылки на внешние ресурсы (NVD, CVE.org, GitHub и другие);
  • внутренний идентификатор уязвимости в CodeScoring;
  • дата последнего обновления данных.

Vuln additional

Страница была полезна?