DefectDojo处理Fortify扫描报告时的严重性等级映射问题分析

问题背景

在安全测试工具链集成过程中，DefectDojo作为一款开源的漏洞管理平台，经常需要处理来自不同扫描工具的报告。近期用户反馈在导入Fortify扫描报告(FPR格式)时，发现漏洞严重性等级出现了不匹配的情况。

具体现象

用户提供的Fortify原始报告显示：

• 危急(Critical)：0个
• 高危(High)：0个
• 中危(Medium)：12个
• 低危(Low)：72个

然而导入DefectDojo后，仪表盘显示：

• 危急(Critical)：12个
• 高危(High)：72个
• 中危(Medium)：0个
• 低危(Low)：0个

虽然总数84个问题保持一致，但严重性等级完全错位，导致风险评估出现偏差。

技术分析

根本原因

这一问题源于DefectDojo对Fortify报告中的严重性指标解析逻辑存在不足。Fortify使用自己的一套严重性评估体系，而DefectDojo在导入时未能正确映射这些等级到自身的分类标准。

影响范围

类似问题不仅出现在Fortify报告中，用户反馈Tenable的.nessus文件也存在相同类型的严重性映射问题。这表明这是一个跨多种扫描工具的通用性问题。

解决方案

开发团队通过合并的改进方案优化了严重性计算逻辑，使其更接近或等同于Fortify的原始优先级值(Friority)。这一变更主要涉及：

1. 重新定义Fortify严重性到DefectDojo标准的映射关系
2. 确保原始报告中的评估标准得到准确保留
3. 统一不同工具的严重性评估体系

最佳实践建议

对于安全团队在使用DefectDojo处理第三方扫描报告时，建议：

1. 导入后立即验证严重性等级的准确性
2. 对于关键评估项目，进行人工复核
3. 关注DefectDojo的版本更新，及时获取相关修复
4. 遇到类似问题时，提供匿名化的原始报告以便问题重现

总结

问题管理平台与各种扫描工具的集成是安全运维中的关键环节。DefectDojo团队通过持续改进，解决了Fortify报告严重性映射的问题，提升了平台的数据准确性和可靠性。用户应当保持对这类集成问题的关注，确保风险评估的准确性不受技术细节影响。