Skip to main content
Version: 1.5

Детализация проблем безопасности

По каждой найденной проблеме предусмотрена возможность получить дополнительную информацию в окне детального просмотра уязвимости. Для просмотра необходимо нажать на соответствующий ID уязвимости.

В окне детализации представлены следующие вкладки:

  • Информация — блок с основной информацией об уязвимости
    • Общее
      • ID уязвимости
      • Категория
      • Уровень критичности (с возможностью изменить уровень вручную)
      • Статус (с возможностью изменить статус вручную)
      • Ответственный (с возможностью назначить ответственного пользователя)
      • Проект
    • Обнаружение
      • Инструмент
      • CVE (с возможностью перейти на страницу просмотра CVE)
      • CWE (с возможностью перейти на страницу просмотра CWE)
    • Код
      • Источник (с возможностью открыть URL источника (коммит) по кнопке Открыть в источнике)
      • Ветка/тег источника
      • Библиотека Также доступны следующие действия над проблемой безопасности:
      • Создать задачи
      • Создать правило безопасности
      • Пометить как False-positive
      • Пометить как Дубликат

Информация об уязвимости

  • Описание — подробное описание о категории уязвимости

Описание уязвимости

  • История — история действий над уязвимостью (назначение ответственного, присвоение статуса, изменение уровня критичности, отметки о дубликации/false-positive)

История уязвимости

  • Дубликаты — дубликаты уязвимости

Дубликаты уязвимости

  • Зависимости — зависимости уязвимости

Зависимости уязвимости

  • Созданные задачи — задачи, созданные из уязвимостей

Задачи, созданные по уязвимости

  • Блок комментариев — реализована возможность добавления комментариев к проблемам безопасности. Предусмотрены тегирование других пользователей, возможность ответа на конкретный комментарий, удаление чужих комментариев (доступно только для учетной записи admin), отслеживание непрочитанных комментариев.

Определение копий уязвимостей на основе хеша

В TRON.ASOC реализован механизм определения копий уязвимостей на основе хеша. Хеш формируется из следующих полей уязвимости:

  • Tool_Type_name — тип инструмента сканирования;
  • CVE — идентификатор CVE;
  • CWE — идентификатор CWE;
  • Source_file — путь к исходному файлу;
  • Lib_name — название библиотеки;
  • Lib_version — версия библиотеки;
  • Category — категория уязвимости;
  • Source_object — исходный объект;
  • Line — номер строки;
  • Matched_Code — совпавший фрагмент кода.

Копия — это уязвимость, полностью совпадающая по параметрам с уже зафиксированной уязвимостью, обнаруженной тем же инструментом сканирования. Дубликат — схожая уязвимость, которая может поступить от другого инструмента или измениться в результате правки кода, однако дубликаты не являются копиями.

Копии определяются следующим образом:

  1. При запуске TRON.ASOC с включенной функцией хеширования система пересчитывает хеш для всех существующих уязвимостей.
  2. Система выявляет копии и удаляет их, оставляя самую раннюю запись из каждого набора копий.
  3. Статус оставшейся уязвимости определяется по следующему правилу:
    • New — если среди копий была хотя бы одна уязвимость в открытом статусе;
    • Fixed — если ни одна из копий не находилась в открытом статусе.
warning

Изменение параметров хеша доступно только через файл конфигурации. Управление через пользовательский интерфейс не предусмотрено.

note

Количество уязвимостей в результатах сканирования отображается с учетом хеширования.