Работа с уязвимостями
Просмотр списка уязвимостей
Список обнаруженных уязвимостей доступен в подразделе SCA -> Уязвимости. В этом разделе отображаются все уязвимости, выявленные модулями SCA и OSA за время их работы.
Таблица уязвимостей содержит следующую информацию:
- Уязвимость – идентификатор уязвимости (например, CVE) со ссылкой на ее индивидуальную страницу;
- Зависимость – компонент, в котором обнаружена уязвимость, с указанием версии;
- Связь — тип зависимости, в которой была обнаружена уязвимость (прямая или транзитивная);
- Окружение — среда использования зависимости (например, runtime, dev, main);
- Проект — проект, в котором зафиксировано использование уязвимой зависимости;
- Статус — статус триажа уязвимости;
- CVSS 2 — оценка угрозы по шкале CVSS v2;
- CVSS 3 — оценка угрозы по шкале CVSS v3;
- CVSS 4 — оценка угрозы по шкале CVSS v4;
- Эксплуатация — текущее состояние эксплуатируемости уязвимости по оценке SSVC;
- Автоматизируемо — возможность автоматизировать эксплуатацию уязвимости по оценке SSVC;
- Техническое влияние — техническое влияние уязвимости по оценке SSVC;
- EPSS — вероятность экплуатации уязвимости по оценке EPSS;
- CWE — категории (Common Weakness Enumeration), к которым относится уязвимость;
- Есть эксплойт — признак наличия публично известного эксплойта;
- Достижимо — информация о достижимости уязвимости в контексте использования компонента;
- Импакт — тип потенциального воздействия уязвимости (например, XSS, DoS, RCE и др.);
- Исправленная версия — версия зависимости, в которой уязвимость устранена;
- Найдено — дата и время обнаружения уязвимости.
Для удобства анализа список уязвимостей можно отфильтровать по следующим параметрам:
- проект;
- подразделение;
- категория и группа проектов;
- временной период публикации уязвимости;
- дата обнаружения;
- рейтинг и уровень угрозы CVSS v2, CVSS v3 и CVSSv4;
- технология;
- окружение зависимости;
- тип связи зависимости (прямая или транзитивная);
- наличие эксплойта;
- достижимость;
- наличие исправления;
- наличие оценки SSVC;
- процент EPSS;
- классы CWE;
- импакт уязвимости;
- статус;
- обоснование;
- ответ.
Также доступен текстовый поиск по идентификатору уязвимости и связанным данным.
Триаж
Триаж позволяет вручную задать статус уязвимости, отражающий её реальное влияние на проект и план действий команды. Функция реализована в соответствии со стандартом CycloneDX Vulnerability Exploitability.
Чтобы выполнить триаж, выберите одну или несколько уязвимостей в списке и нажмите кнопку Триаж над таблицей. Откроется модальное окно со следующими полями:
- Статус — статус уязвимости, отражающий её применимость к проекту;
- Обоснование — причина присвоения статуса Не затронут;
- Ответ — запланированный или реализованный ответ на уязвимость;
- Детали — текстовое поле для дополнительных комментариев или контекста.
В модальном окне триажа используются следующие наборы значений.
Значения статуса
Значения обоснования
Обоснование поясняет, почему для уязвимости выбран статус Не затронут.
Значения ответа
Ответ фиксирует запланированное или реализованное действие по уязвимости.
После сохранения присвоенный статус отображается в колонке Статус списка уязвимостей и доступен для фильтрации.

Достижимость
Для достижимых уязвимостей есть возможность просмотра визуализации путей и выгрузки их текстового представления

Страница уязвимости
Индивидуальная страница уязвимости предназначена для детального анализа конкретной уязвимости и всей связанной с ней информации в рамках платформы.
Страница отображает единую дедуплицированную уязвимость, даже если она была обнаружена несколькими источниками данных (например, NVD, GitHub Advisories, БДУ ФСТЭК и др.). При этом пользователь может просмотреть оригинальные данные каждого источника отдельно.
Общая информация об уязвимости
В верхней части страницы отображается сводная информация об уязвимости:
- идентификатор уязвимости (например, CVE);
- даты публикации, отзыва (если есть) и обновления в источнике данных;
- наличие публично известного эксплойта;
- является ли уязвимость протестной;
- использование уязвимости в ПО-вымогателе;
- краткое описание уязвимости;
- связанные категории CWE.
В качестве дат публикаций и отзыва отображаются самые ранние даты из всех источников. В качестве даты обновления - самая поздняя дата.
Идентификатор уязвимости и краткое описание отображаются из источников в порядке приоритета:
- CVE.ORG;
- GHSA;
- Kaspersky;
- BDU;
- Остальные источники в алфавитном порядке.

Справа отображается наивысшая оценка уровня угрозы для наиболее новой версии CVSS с учетом всех источников.
Оценка, уровень угрозы и остальные метрики отображаются из источника с наивысшей оценкой для данной версии CVSS.
Ниже также могут быть представлены:
- разделение по уровням CVSS с указанием версии и соответствующего уровня угрозы;
- вектор SSVC категоризации уязвимости;
- EPSS оценка вероятности эксплуатации;

Источники данных и оценки
Для уязвимости отображается список источников, в которых она была зафиксирована. Для каждого источника могут быть представлены:
- собственная оценка CVSS;
- версия CVSS;
- вектор SSVC категоризации уязвимости;
- EPSS оценка вероятности эксплуатации уязвимости;
- дополнительные атрибуты и метаданные источника.
Это позволяет сопоставлять данные из разных источников и учитывать расхождения в оценках при анализе рисков.

Затронутые зависимости и образы
На странице отображаются списки затронутых компонентов:
- зависимости, обнаруженные в SCA-проектах;
- пакеты и образы, проверенные модулем CodeScoring.OSA.
Такое разделение упрощает анализ уязвимости в различных контекстах использования и помогает точнее оценить область её влияния.

Связанные алерты
В нижней части страницы представлен список связанных алертов, сгенерированных политиками безопасности.
Для каждого алерта отображается:
- политика, в рамках которой он был создан;
- условия срабатывания;
- проект и этап разработки;
- уровень критичности;
- дата и время создания.
Это позволяет быстро понять, какие правила безопасности затрагивает уязвимость и где именно она влияет на проект.

Дополнительная информация
В правой части страницы также отображаются:
- ссылки на внешние ресурсы (NVD, CVE.org, GitHub и другие);
- внутренний идентификатор уязвимости в CodeScoring;
- дата последнего обновления данных.

