Перейти к содержанию

Уязвимости

Уязвимости проекта

На странице проекта Система предоставляет следующую информацию по обнаруженным уязвимостям, относящимся к проекту:

  • Общее количество уязвимостей, обнаруженных в результате последнего успешно завершенного сканирования проекта, в виде круговой диаграммы с разбивкой по уровням критичности.
  • Историю сканирований проекта с данными об общем количестве уязвимостей, обнаруженных в результате каждого сканирования с разбивкой по уровням критичности.

Подробное описание страницы проекта см. в разделе «Страница проекта».

Уязвимости сканирования

Для того чтобы ознакомиться с уязвимостями, обнаруженными в ходе сканирования:

  1. На странице Проекты нажмите на строку проекта, чтобы перейти на страницу проекта.
  2. На странице проекта в таблице Сканирования нажмите на строку сканирования.

Открывшаяся страница результатов сканирования содержит следующую информацию об уязвимостях сканирования:

  • Общее количество обнаруженных уязвимостей с разбивкой по уровням критичности.
  • Список обнаруженных уязвимостей, сгруппированных по типам.

Уязвимости можно отфильтровать по уровню критичности, влиянию и статусу, нажав на значок фильтра и выбрав из выпадающих списков одно или несколько значений.

Существует возможность поиска по названию групп уязвимостей. Для этого необходимо ввести имя группы или его часть в поле Название группы.

Для того чтобы получить детальную информацию об уязвимости:

  1. Нажмите на тип уязвимости.
  2. Нажмите на конкретное срабатывание в появившемся списке.

В правой части страницы представлена подробная информация о выбранной уязвимости:

  • ID - идентификатор уязвимости в Системе.
  • Имя файла, в котором была найдена уязвимость.
  • Уровень критичности уязвимости (Error (ошибка) / Warning (предупреждение) / Info (информационный)).
  • Достоверность – степень уверенности инженера ИБ в том, что данное срабатывание является уязвимостью (Низкая / Средняя / Высокая).
  • Влияние – оценка того, насколько разрушительной может быть для проекта данная уязвимость с точки зрения инженера ИБ (Низкий / Средний / Высокий).
  • Статус уязвимости в Системе (не обработано / false (ложноположительный) / true (истинно положительный)).
  • Исходный код файла, в котором обнаружена уязвимость. В коде подсвечивается строка, содержащая уязвимость.
  • Описание уязвимости на русском языке.
  • Ссылки на описание уязвимости и передовые методики, позволяющие избегать появления подобных уязвимостей.
  • Классификация уязвимости в соответствии с различными источниками, такими как CWE и различные версии OWASP Top-10 за разные годы.

Исходный код, в котором обнаружена уязвимость, можно развернуть для просмотра, с помощью значков и .

При нажатии на значок для показа фрагмента исходного кода будет скрыт расположенный слева список уязвимостей:

При нажатии на значок будет показан весь файл с исходным кодом:

Повторное нажатие на значок или возвратит страницу результатов сканирования к исходному виду.

Триаж уязвимостей

Система предоставляет инженеру ИБ возможность обработки (триажа) обнаруженных уязвимостей.

Для проведения триажа:

  1. На странице результатов сканирования выберите уязвимость.

  2. Нажмите на значок .

  3. В появившемся окне Изменение деталей уязвимости можно установить следующие параметры, выбрав необходимые значения из выпадающих списков:

    • Статус уязвимости в Системе (не обработано / false (ложноположительный) / true (истинно положительный)).
    • Уровень критичности уязвимости (Error (ошибка) / Warning (предупреждение) / Info (информационный)).
    • Влияние – оценка того, насколько разрушительной может быть для проекта данная уязвимость с точки зрения инженера ИБ (Низкое / Среднее / Высокое).

  4. Добавьте Комментарий к уязвимости по проведенному триажу.

  5. Нажмите на кнопку Применить.

Параметры уязвимости в Системе будут обновлены.