Перейти к основному содержимому
Версия: 1.4

Проблемы безопасности

В разделе Проекты → Название проекта → Проблемы безопасности (или в разделе Проблемы безопасности из главного меню слева) отображаются (в конкретном проекте/все) найденные уязвимости и дополнительная информация о них.

Список уязвимостей отображается со следующими параметрами:

  • ID уязвимости - ID найденной проблемы безопасности
  • Пометка False-Positive - признак ложноположительности проблемы безопасности
  • Пометка Дубликат - признак дубликата проблемы безопасности
  • Пометка Попавшее под ПБ - признак проблемы безопасности, попавшей под правило безопасности и исключенной из списка проблем
  • Категория - название категории проблемы безопасности
  • Уровень критичности - уровень критичности проблемы безопасности
  • Статус - статус проблемы безопасности
  • Инструмент - название инструмента обнаружения уязвимости
  • CWE - наименование CWE параметра
  • CVE - наименование CVE параметра
  • Источник - название источника сканирования
  • Ветка/тег источника - ветка/тег источника сканирования
  • Файл - название сканируемого файла
  • Строка - номер строки
  • Фрагмент кода - исходный код, содержащийся в проблеме безопасности
  • Название библиотеки - название библиотеки
  • Версия библиотеки - версия библиотеки
  • Создано - дата обнаружения проблемы безопасности
  • Обновлено - дата обновления проблемы безопасности
  • Проект - название проекта (в проблемах безопасности конкретного проекта поле не показано)
  • Ответственный - пользователи или группы пользователей, назначенные в роли ответственных
  • Комментарии - комментарии и количество непрочитанных

Также предусмотрены следующие возможности:

  • Просмотр детализированной информации о проблеме безопасности.
  • Видимость статусов проблем безопасности.
  • Расширенная фильтрация по доступным атрибутам. Для настройки необходимо нажать на кнопку фильтрации и выбрать требуемые настройки фильтрации.
  • Поиск по параметрам CWE и CVE.
  • Множественные действия над проблемами безопасности.

Детализация проблем безопасности

По каждой найденной проблеме предусмотрена возможность получить дополнительную информацию в окне детального просмотра уязвимости. Для просмотра необходимо нажать на соответствующий ID уязвимости.

В окне детализации представлены следующие вкладки:

  • Информация - блок с основной информацией об уязвимости
  • Общее
    • ID уязвимости
    • Категория
    • Уровень критичности (с возможностью изменить уровень вручную)
    • Статус (с возможностью изменить статус вручную)
    • Ответственный (с возможностью назначить ответственного пользователя)
    • Проект
  • Обнаружение
    • Инструмент
    • CVE (с возможностью перейти на страницу просмотра CVE)
    • CWE (с возможностью перейти на страницу просмотра CWE)
  • Код
    • Источник (с возможностью открыть URL источника (коммит) по кнопке Открыть в источнике)
    • Ветка/тег источника
    • Библиотека Также доступны следующие действия над проблемой безопасности:
    • Создать задачи
    • Создать правило безопасности
    • Пометить как False-positive
    • Пометить как Дубликат
  • Описание - подробное описание о категории уязвимости
  • История - история действий над уязвимостью
  • Дубликаты - дубликаты уязвимости
  • Библиотека зависимостей - зависимости уязвимости
  • Созданные задачи - задачи, созданные из уязвимостей
  • Блок комментариев - реализована возможность добавления комментариев к проблемам безопасности. Предусмотрены тегирование других пользователей, возможность ответа на конкретный комментарий, удаление чужих комментариев (доступно только для учетной записи admin), отслеживание непрочитанных комментариев.

Статусы проблем безопасности

Статусы проблем безопасности можно изменять вручную при просмотре список найденных проблем, а также в окне детального просмотра.

Также система предусматривает настройку Статусной модели, которая позволяет вручную/автоматически переключать статусы в соответствии с переходами статусов, что позволит придерживаться заявленного Workflow статусов проблем безопасности.

Фильтрация проблем безопасности

В разделе Проблемы безопасности (а также в рамках проблем по отдельному проекту) для удобства управления уязвимостями предусмотрена расширенная фильтрация списка проблем.

Фильтрация доступна по следующим параметрам:

Общие параметры:

  • Категория - название категории проблемы безопасности
  • Уровень критичности - уровень критичности проблемы безопасности
  • Статус - статус проблемы безопасности
  • Проект - проблемы безопасности конкретного проекта
  • Ответственный - пользователи или группы пользователей, назначенные в роли ответственных
  • Создано - дата обнаружения создания проблемы безопасности в системе ASOC
  • Попавшие под ПБ - проблемы безопасности, попавшие под Правило безопасности
  • False-positives - ложноположительные проблемы безопасности
  • Дубликаты - дубликаты уязвимостей

Параметры обнаружения:

  • Обнаружено с помощью - название инструмента обнаружения уязвимости
  • CWE - наименование CWE параметра
  • CVE - наименование CVE параметра

Параметры кода:

  • Сканируемый объект - название сканируемого объекта
  • Ветка/тег источника - ветка/тег источника сканирования
  • Название библиотеки - название библиотеки
  • Версия библиотеки - версия библиотеки
  • Совпадающий код - исходный код, содержащийся в проблеме безопасности

Параметры комментариев к проблемам безопасности:

  • Содержание текста - текст, содержащийся в комментариях к проблеме/проблемам безопасности
  • Авторы - авторы комментариев
  • Кол-во авторов - количество авторов комментариев к проблемам безопасности
  • Непрочитанные комментарии - непрочитанные комментарии, в которых был упомянут пользователь
  • Последний - от другого автора - последний комментарий от других пользователей
  • Нет моих комментариев - проблемы безопасности, к которым нет комментариев текущего пользователя
  • Мне ответили - содержит ответы на комментарии текущего пользователя
  • Меня упомянули - текущего пользователя упомянули в комментариях

Создание пресетов фильтров

В системе также реализована возможность использовать пресеты ранее настроенных фильтров, как личных, так и общих (глобальных или привязанных к группе), добавлять новые пресеты, сбрасывать пресеты.

Обратите внимание! Установлен лимит для личных пресетов - 10 пресетов. Для удаления или редактирования пресетов необходимо выбрать соответствующий значок напротив названия пресета в строке поиска пресетов.

Для того, чтобы создать пресет, необходимо выполнить следующие шаги:

  1. В разделе Проблемы безопасности нажать на значок фильтрации .
  2. В открывшейся форме настройки фильтрации установить необходимые значения фильтров полей таблицы проблем безопасности.
  3. После заполнения нажать на кнопку Сохранить как пресет.
  4. Далее в открывшемся окне заполнить следующие параметры пресета:
    • Название
    • Доступ (Личный/Общий) Если выбран Общий доступ, то необходимо добавить группу пользователей, у которой будет разрешение на использование пресета, в поле Группа (является обязательным)
  5. Нажать на кнопку Сохранить.

Множественные действия над проблемами безопасности

Функционал множественных действий над проблемами безопасности предназначен для одновременного управления несколькими проблемами безопасности.

Для применения множественных действий необходимо выбрать проблемы безопасности из списка с помощью чекбоксов .

Доступны следующие множественные действия:

  • Изменение статуса проблем безопасности
  • Изменение уровня критичности
  • Назначение нового ответственного (конкретного пользователя или группы пользователей)
  • Создание задач из проблем безопасности
  • Добавление комментария
  • Отметка False-positive
  • Отметка Дубликат Также доступны действия по снятию отметок False-positive и Дубликат.