GitLab 引入高级漏洞跟踪功能

主要观点

GitLab 最近推出了一项新功能，旨在解决漏洞管理中的两个主要挑战：代码波动性和双重报告。该功能通过先进的跟踪机制，提高了漏洞检测和管理的准确性与效率。

关键信息

1. 代码波动性：指代码库频繁变化，可能导致已修复的漏洞重新出现。
2. 双重报告：多个安全工具识别到同一个漏洞，导致重复报告和效率低下。
3. 高级漏洞跟踪：GitLab 的新功能，通过上下文信息和语法树生成，更精确地定位漏洞。
4. 位置指纹识别：一种新的漏洞标识方法，比传统的 <文件, 行号> 对更稳定，减少代码变化对漏洞跟踪的影响。

重要细节

• 适用场景：特别适用于实施 DevSecOps 的团队，将安全集成到开发生命周期中。
• 研究结果：GitLab 的研究显示，高级漏洞跟踪方法比传统的基于行的跟踪方法有效 30%，并且随着时间的推移，其优势更加明显。
• 技术展示：研究的发现将在 2025 年第 47 届国际软件工程会议（ICSE）的软件工程实践轨道上展示。
• 社区讨论：在 Reddit 上，关于集中化漏洞管理工具的讨论中，有用户建议在选择工具时应注意兼容性、去重、配置性、仪表板和报告等关键因素。

参考文献

• GitLab 高级漏洞跟踪博客文章
• GitLab 高级漏洞跟踪文档
• ICSE 2025 会议信息
• 研究预印本