Skip to content

Схемы уязвимостей

Создание схем уязвимостей

При помощи схем вы можете настраивать поля для регистрации уязвимостей.

Примечание: Отчеты будут генерироваться в зависимости от схемы уязвимости, установленной в проекте;

Чтобы создать схему уязвимости:

  1. Перейдите на вкладку Project > Issues > Schemas;

  2. Нажмите на кнопку +Schema;

  3. В поле Schema template выберите шаблон уязвимости (необязательно);

  4. В поле Title укажите заголовок схемы (необязательно);

  5. В колонке Add content нажмите +, чтобы добавить поля в схему:

    • Templates - в схему можно добавить только одно поле каждого типа (можно менять только технические названия шаблонов);

      • Score - общий риск уязвимости (можно переименовывать значения рисков);
      • Affected assets - IP-адрес или имя хоста;
      • HTTP requests - примеры запросов и ответов сайта (данное поле по умолчанию сворачиваемое);
      • Weakness type - тип уязвимости;

    • Custom fields (необязательные поля) - в схему можно добавить несколько полей каждого типа (можно менять технические названия и идентификаторы полей):

      • String - поле для текстовых значений;
      • Integer - поле для целочисленных значений;
      • Float - поле для числовых значений плавающего типа;

      • Markdown - поля для текста в формате Markdown. Чтобы к этим полям можно было применить автозаполнение уязвимости из шаблонов, необходимо указать идентификаторы:

        • generalDescription - соответствует полю General description
        • recommendations - соответствует полю Recommendations
        • riskDescription - соответствует полю Risk description
        • stepsToReproduce - соответствует полю Steps to Reproduce
        • technicalDescription - соответствует полю Technical description

    • Checkbox - одиночный флажок;
    • Checkboxes - несколько флажков;

    • Select - поле для выбора одной или нескольких опций:

      • multiple choice - выбор нескольких опций одновременно;
      • single choice - выбор только одной опции;
      • add placeholder - добавить подсказку в пустое поле опции (при регистрации уязвимости в полях select будет отображаться серый текст подсказки)

    • Radio buttons - поле для ввода радио-кнопок;
    • Date - поле для ввода даты;
    • Date & time - поле для ввода даты и времени.

  6. Дополнительные опции:

    • Изменение порядка полей - выберите поле мышью и перетащите его в другое место;
    • Сделать поля обязательными - нажмите на иконку * у необходимого полем, чтобы сделать поле обязательным для заполнения;
    • Сворачивать пустые поля - нажмите на иконку у необходимого поля, и незаполненные поля будут свернуты при регистрации уязвимости;

  7. Для предварительного просмотра схемы нажмите Preview;

  8. Нажмите Create, чтобы сохранить схему;

  9. Нажмите Create issue, чтобы зарегистрировать уязвимость по схеме уязвимости.

Импорт и экспорт схем уязвимостей

Чтобы импортировать схему уязвимости:

  1. Перейдите на вкладку Project > Issues > Schemas;

  2. Нажмите на кнопку > Import;

  3. Нажмите Browse или перетащите файл в формате .json в окно загрузки;

  4. Нажмите Import. Новая схема уязвимости появится в списке.

Чтобы экспортировать схему уязвимости:

  1. Перейдите на вкладку Project > Issues > Schemas;

  2. Нажмите на кнопку > Export;

  3. Выберите одну или несколько схем и нажмите Export:

  4. Схема уязвимости будет загружена в файл в формате .json.

Примечание: при экспорте нескольких схем уязвимостей, они будут сохранены в один .json файл.

Схема уязвимости по умолчанию

Предустановленные поля

Тип Техническое название Отображаемое имя Комментарий
UUID uuid uuid Уникальный идентификатор схемы
DATETIME postTime Created Дата создания схемы
DATETIME editTime Edited Дата последнего изменения схемы
IP ips IP addresses Поле для IP адресов
HOSTNAME hostnames Hostnames Поле для хостов
REQUEST requests HTTP requests Поле для HTTP-запросов
INTEGER criticalityScore Criticality Критичность уязвимости (1 - низкая, 2 - средняя, 3 - высокая)
INTEGER probabilityScore Probability Вероятность уязвимости (1 - низкая, 2 - средняя, 3 - высокая)
INTEGER totalScore Total risk Общий риск уязвимости (1 - низкий, 2 - средний, 3 - высокий)
TEXT weaknessType Weakness type Строка для ввода типа уязвимости
TEXT_MD generalDescription Description Поле для описания уязвимости (Markdown)
TEXT_MD risksDescription Risks Поле для описания риска уязвимости (Markdown)
TEXT_MD technicalDescription Technical description Поле для технического описания уязвимости (Markdown)
TEXT_MD recommendations Recommendations Поле для рекомендаций по устранению уязвимости (Markdown)
TEXT_MD reproduceDescription Steps to reproduce Поле для описания шагов воспроизведения уязвимости (Markdown)