分析

分析是漏洞管理生命周期的第三个阶段：检测、分类、分析、修复。

分析是评估漏洞细节以确定是否可以以及应该修复的过程。漏洞可以批量分类，但分析必须单独进行。根据漏洞的严重性和相关风险，优先分析每个漏洞。作为风险管理框架的一部分，分析有助于确保资源在最有效的地方得到应用。使用安全仪表板和漏洞报告中的数据来优先分析。

范围

分析阶段的作用范围是所有经过分类阶段并确认需要进一步处理的漏洞。要在漏洞报告中列出这些漏洞，请使用以下筛选条件：

• 状态：已确认

风险分析

您应根据风险评估框架进行漏洞分析。如果您尚未使用风险评估框架，可以考虑以下内容：

• SANS Institute 漏洞管理框架
• OWASP 威胁与防护矩阵（TaSM）

计算漏洞的风险分数取决于您组织的特定标准。基本的风险分数公式为：

风险 = 可能性 × 影响

可能性和影响的数值会根据漏洞和您的环境而变化。确定这些数值并计算风险分数可能需要一些 GitLab 中不可用的信息。相反，您必须根据风险管理框架进行计算。计算完成后，在您为漏洞创建的问题中记录这些数值。

通常，在漏洞上花费的时间和精力应与其风险成正比。例如，您可能选择只分析关键和高风险的漏洞，而忽略其他漏洞。您应根据漏洞的风险阈值做出此决定。

分析策略

使用风险评估框架来指导您的漏洞分析过程。以下策略也可能有所帮助。

优先处理高严重性漏洞

为了帮助识别高严重性漏洞：

• 如果您在分类阶段尚未这样做，请使用漏洞优先级 CI/CD 组件来帮助优先分析漏洞。
• 对于每个组，在漏洞报告中使用以下筛选条件，按严重性优先分析漏洞：
  • 状态：已确认
  • 活动：仍被检测到
  • 分组依据：严重性
• 优先分析您最高优先级项目的漏洞 - 例如，部署给客户的应用程序。

优先处理有解决方案的漏洞

一些漏洞有可用的解决方案，例如"从版本 13.2 升级到 13.8"。这减少了分析和修复这些漏洞所需的时间。一些解决方案仅在启用 GitLab Duo 后可用。

在漏洞报告中使用以下筛选条件来识别有解决方案的漏洞。

• 对于通过 SBOM 扫描检测到的漏洞，使用以下条件：
  • 状态：已确认
  • 活动：有解决方案
• 对于通过 SAST 检测到的漏洞，使用以下条件：
  • 状态：已确认
  • 活动：漏洞解决方案可用

漏洞详情和操作

每个漏洞都有一个漏洞页面，包含检测时间、检测方式、严重性评级和完整日志等信息。使用这些信息来帮助分析漏洞。

以下提示也可能帮助您分析漏洞：

• 使用 GitLab Duo 漏洞解释来帮助解释漏洞并建议修复方案。仅适用于 SAST 检测到的漏洞。
• 使用第三方培训供应商提供的安全培训来帮助理解特定漏洞的性质。

分析每个已确认的漏洞后，您应该：

• 如果决定需要修复，则保持其状态为已确认。
• 如果决定不需要修复，则将其状态更改为已忽略。

如果您确认了一个漏洞：

1. 创建一个问题来跟踪、记录和管理修复工作。
2. 继续到漏洞管理生命周期的修复阶段。

如果您忽略了一个漏洞，您必须提供简短的评论说明忽略的原因。如果在后续扫描中检测到被忽略的漏洞，它们将被忽略。漏洞记录是永久的，但您可以随时更改漏洞的状态。