使用更新的 GitLab Security Dashboard 跟踪漏洞修复

Source: GitLab Blog

概览

安全团队和开发人员面临同样的困扰：成千上万的漏洞需要关注，却缺乏帮助他们优先处理修复的洞察。风险集中在哪里，修复速度有多快？哪些修复工作能产生最大的影响？更新后的 GitLab 安全仪表盘通过趋势跟踪、漏洞年龄分布以及按项目的风险评分来回答这些问题。

应用安全团队并不是难以发现漏洞，而是难以理解它们。大多数仪表盘只显示原始计数，缺乏上下文，迫使团队花费大量时间进行修复追踪，却不了解哪些漏洞会带来最大的风险。

GitLab 安全仪表盘 将所有漏洞数据整合到一个视图中，覆盖项目、组和业务单元。

在 18.6 版本中，我们推出了更新版安全仪表盘的首个发布，允许团队随时间查看漏洞并根据项目或报告类型进行过滤。作为 18.9 版本 的一部分，客户现在可以使用新的过滤器和图表，更轻松地按严重性、状态、扫描器或项目对数据进行切片，并可视化诸如开放漏洞、修复速度、漏洞年龄分布和随时间变化的风险评分等趋势。

风险评分帮助团队优先处理最关键的漏洞。风险评分的计算考虑了漏洞年龄、Exploit Prediction Scoring System（EPSS）以及相关仓库的已知被利用漏洞（KEV）评分和安全姿态等因素。凭借这些数据，应用安全团队能够精准定位哪些领域需要比其他地方更多的关注。

GitLab 安全仪表盘帮助应用安全和开发团队：

• 跟踪项目有效性：监控修复速度、扫描器采纳率和风险姿态，以展示可衡量的改进。
• 聚焦有针对性的修复：修复对生产系统风险最大的漏洞。
• 识别需要修复培训的领域：找出哪些团队在按照公司政策修复漏洞方面存在困难，以便投入额外培训。
• 减少手动报告：通过在 GitLab 内直接跟踪所有内容，消除外部仪表盘和电子表格的需求。

此更新体现了 GitLab 持续致力于让安全可衡量、具上下文并融入日常开发工作流的承诺。GitLab 安全仪表盘将原始发现转化为可操作的洞察，为安全和开发团队提供优先级明确、加速降低风险并证明进展的清晰视角。

查看安全仪表盘的实际效果

一位准备向高层汇报的应用安全负责人现在可以展示投资是否在降低风险，使用清晰的趋势线：开放漏洞数量下降、漏洞年龄下降、曾经常见的 CWE 类型呈下降趋势，风险评分保持健康。与其呈现原始计数，他们可以展示待处理事项如何缩减以及风险姿态如何按季度改善。

与此同时，开发人员也能在同一仪表盘中看到其活跃项目的关键漏洞，从而在不导出数据或切换多个工具的情况下，专注于修复工作。

欲了解如何立即开始使用 GitLab 安全仪表盘的更多细节，请查阅我们的文档。