Перейти к содержанию

Уязвимости

Уязвимости проекта

На странице проекта Система предоставляет следующую информацию по обнаруженным уязвимостям, относящимся к проекту:

  • Общее количество уязвимостей, обнаруженных в результате последнего успешно завершенного сканирования проекта, в виде круговой диаграммы с разбивкой по уровням критичности.
  • Историю сканирований проекта с данными об общем количестве уязвимостей, обнаруженных в результате каждого сканирования с разбивкой по уровням критичности.

Подробное описание страницы проекта см. в разделе «Страница проекта».

Уязвимости сканирования

Для того чтобы ознакомиться с уязвимостями, обнаруженными в ходе сканирования:

  1. На странице Проекты нажмите на строку проекта, чтобы перейти на страницу проекта.
  2. На странице проекта в таблице Сканирования нажмите на строку сканирования.

Открывшаяся страница результатов сканирования содержит следующую информацию об уязвимостях сканирования:

  • Общее количество обнаруженных уязвимостей с разбивкой по уровням критичности.
  • Список обнаруженных уязвимостей, сгруппированных по типам.

Уязвимости можно отфильтровать по уровню критичности, влиянию и статусу, нажав на значок фильтра и выбрав из выпадающих списков одно или несколько значений.

Существует возможность поиска по названию групп уязвимостей. Для этого необходимо ввести имя группы или его часть в поле Название группы.

Для того чтобы получить детальную информацию об уязвимости:

  1. Нажмите на значок группы уязвимости. В раскрывшемся списке уязвимостей все ранее подтвержденные уязвимости отмечены значком , а все ранее опровергнутые - значком .
  2. Нажмите на конкретное срабатывание в раскрывшемся списке.

В правой части страницы представлена подробная информация о выбранной уязвимости:

  • ID - идентификатор уязвимости в Системе.
  • Имя файла, в котором была найдена уязвимость, и последние два сегмента пути к нему. При нажатии на имя файла путь к файлу будет скопирован в буфер обмена.
  • Уровень критичности уязвимости (Critical (критический) / Error (ошибка) / Warning (предупреждение) / Info (информационный)).
  • Достоверность – степень уверенности инженера ИБ в том, что данное срабатывание является уязвимостью (Низкая / Средняя / Высокая).
  • Влияние – оценка того, насколько разрушительной может быть для проекта данная уязвимость с точки зрения инженера ИБ (Низкое / Среднее / Высокое).
  • Статус уязвимости в Системе (Не обработано / Опровергнуто (ложноположительный) / Подтверждено (истинно положительный)).
  • Исходный код файла, в котором обнаружена уязвимость:
    • В коде подсвечивается строка, содержащая уязвимость.
    • Исходный код, в котором обнаружена уязвимость, можно развернуть для просмотра, с помощью значков и .
      • При нажатии на значок для показа фрагмента исходного кода будет скрыт расположенный слева список уязвимостей.
      • При нажатии на значок будет показан весь файл с исходным кодом.
    • Повторное нажатие на значок или возвратит страницу результатов сканирования к исходному виду.

В нижней части страницы расположены вкладки:

  • Описание уязвимости на русском языке.
  • Ссылки на описание уязвимости и передовые методики, позволяющие избегать появления подобных уязвимостей.
  • Классификация уязвимости в соответствии с различными источниками, такими как CWE и различные версии OWASP Top-10 за разные годы.
  • Поток данных - на этой вкладке отображается поток данных для taint-анализа (если применимо для данной уязвимости), включая точку входа, промежуточные точки (при их наличии) и точку выхода.

Триаж уязвимостей

Система предоставляет инженеру ИБ возможность обработки (триажа) обнаруженных уязвимостей.

Результаты проведенного триажа сохраняются для последующих сканирований проекта при соблюдении следующих условий:

  • Уязвимость повторно встретилась в том же файле исходного кода.
  • Файловая структура проекта не изменилась.

Триаж одной уязвимости

Для проведения триажа одной уязвимости:

  1. На странице результатов сканирования выберите уязвимость.

  2. Нажмите на кнопку Триаж, расположенную справа над исходным кодом.

  3. В появившемся окне Изменение деталей уязвимости можно установить следующие параметры, выбрав необходимые значения из выпадающих списков:

    • Статус уязвимости в Системе (Не обработано / Опровергнуть (ложноположительный) / Подтвердить (истинно положительный)).
    • Уровень критичности уязвимости (Critical (критический) / Error (ошибка) / Warning (предупреждение) / Info (информационный)).
    • Влияние – оценка того, насколько разрушительной может быть для проекта данная уязвимость с точки зрения инженера ИБ (Низкое / Среднее / Высокое).

  4. Добавьте Комментарий к уязвимости по проведенному триажу.

  5. Нажмите на кнопку Применить.

Параметры уязвимости в Системе будут обновлены.

Групповой триаж уязвимостей

Для проведения триажа нескольких уязвимостей:

  1. На странице результатов сканирования выберите нужные уязвимости.

    Для выбора можно использовать следующие возможности:

    • Выбор из списка выделением каждой нужной уязвимости (проставлением галочек).
    • Выбор из списка одной или нескольких групп уязвимостей выделением нужных групп, например, группы SQL-инъекция.
    • Группировать уязвимости в списке можно по типу, критичности и файлу, в котором они найдены. Для этого выберите в поле Группировка нужный пункт из выпадающего списка. Можно выбрать несколько пунктов, в этом случае группировка будет произведена по указанным параметрам в порядке их выбора. Например, при выборе пунктов Файл и затем Критичность уязвимости сгруппируются по файлам, а внутри них - по критичности, а при выборе пунктов Критичность и затем Файл уязвимости сгруппируются по уровням критичности, а внутри них - по файлам.
    • Чтобы найти нужные уязвимости, можно ввести (полностью или частично) тип, уровень критичности или название файла в поле Искать по названию.

  2. Нажмите на кнопку Триаж, расположенную над списком уязвимостей.

  3. В появившемся окне Групповой триаж (X элементов) можно установить следующие параметры, выбрав необходимые значения из выпадающих списков:

    • Статус уязвимостей в Системе (Не обработано / Опровергнуть (ложноположительный) / Подтвердить (истинно положительный)).
    • Уровень критичности уязвимостей (Critical (критический) / Error (ошибка) / Warning (предупреждение) / Info (информационный)).
    • Влияние – оценка того, насколько разрушительными могут быть для проекта данные уязвимости с точки зрения инженера ИБ (Низкое / Среднее / Высокое).

  4. Добавьте Комментарий к уязвимости по проведенному триажу.

  5. Нажмите на кнопку Применить.