修复

修复是漏洞管理生命周期的第四个阶段：检测、分类、分析、修复。

修复是找出漏洞的根本原因并修复该根本原因、降低风险，或两者都做的过程。利用每个漏洞的详情页面中包含的信息，帮助您理解漏洞的性质并进行修复。

修复阶段的目标是解决或驳回一个漏洞。当您已修复根本原因或漏洞不再存在时，漏洞被视为已解决。当您认为不值得进一步努力时，漏洞被视为已驳回。

了解 GitLab Duo 如何帮助您分析和修复漏洞的详细说明，请参阅使用 GitLab Duo 修复 SQL 注入。

范围

修复阶段范围是所有已通过分析阶段并确认需要进一步操作的漏洞。要在漏洞报告中列出这些漏洞，请使用以下筛选条件：

• 状态：已确认
• 活动：有相关 issue

记录漏洞

如果您尚未这样做，创建一个 issue 来记录您的调查和修复工作。如果您发现类似的漏洞，或者相同的漏洞再次被检测到，此文档将提供一个参考点。

修复漏洞

利用分析阶段收集的信息来指导您修复漏洞。了解漏洞的根本原因很重要，这样才能确保修复有效。

对于 SAST 检测到的某些漏洞，GitLab 可以：

• 使用 GitLab Duo Chat 解释漏洞。
• 使用 GitLab Duo Chat 解决漏洞。
• 如果您使用的是 GitLab Advanced SAST，可以提供从输入到易受攻击代码行的完整数据路径。

当漏洞的根本原因被修复后，解决该漏洞。

执行以下操作：

1. 将漏洞的状态更改为 已解决。

2. 在为该漏洞创建的 issue 中记录如何修复，然后关闭 issue。

   如果已解决的漏洞被重新引入并再次被检测到，其记录将被恢复，状态设置为 需要分类。

驳回漏洞

在修复阶段的任何时候，您都可能决定驳回漏洞，可能是因为您已确定：

• 修复工作的预估成本过高。
• 漏洞几乎没有风险。
• 漏洞的风险已经得到缓解。
• 漏洞在您的环境中无效。

当您驳回漏洞时：

1. 提供一个简短的评论，说明您驳回它的原因。

2. 将漏洞的状态更改为 已驳回。

3. 如果您为该漏洞创建了 issue，添加一条评论说明您已驳回该漏洞，然后关闭 issue。

   如果在后续扫描中检测到已驳回的漏洞，它将被忽略。