DefectDojo Wazuh扫描导入功能中的严重性级别处理问题分析

问题背景

DefectDojo作为一款开源的漏洞管理平台，提供了对多种安全扫描工具结果的支持。其中，对Wazuh安全监控平台扫描结果的导入功能在特定版本中存在一个关键缺陷：当尝试导入Wazuh扫描结果时，只有当漏洞项的严重性级别(severity)设置为"Info"时才能成功导入，而使用其他严重性级别("Low"、"Medium"或"High")则会导致服务器内部错误。

问题表现

当用户通过DefectDojo的API V2端点/api/v2/import-scan/导入Wazuh扫描结果时，系统对不同严重性级别的处理存在不一致性：

1. 成功情况：当Wazuh扫描结果中的severity字段值为"Info"时，导入操作正常完成，返回标准的API响应格式。

2. 失败情况：当severity字段值为其他有效值("Low"、"Medium"或"High")时，API返回500内部服务器错误，日志中显示类型转换异常："can only concatenate str (not 'relativedelta') to str"。

技术分析

从错误日志和代码行为分析，这个问题源于DefectDojo在处理Wazuh扫描结果时对严重性级别的类型转换处理不当。具体表现为：

1. 类型不匹配：系统在处理非"Info"级别的严重性时，尝试将时间差对象(relativedelta)与字符串进行拼接操作，这显然是不合法的Python操作。

2. 版本确认：该问题在DefectDojo 2.45.2版本中确认存在，但在后续的2.45.3和2.46.0版本中已得到修复。

3. 修复内容：问题的根本修复是通过正确处理严重性级别的类型转换，确保无论传入何种严重性级别，系统都能正确解析和处理。

解决方案

对于遇到此问题的用户，建议采取以下解决方案：

1. 版本升级：将DefectDojo升级到2.45.3或更高版本，这是最直接和彻底的解决方案。

2. 临时变通方案：如果暂时无法升级，可以考虑以下方法：

   • 在导入前预处理扫描结果，将所有严重性级别临时改为"Info"
   • 导入后手动调整严重性级别为正确值
   • 使用其他导入方式或工具作为过渡方案

3. 配置检查：确保Wazuh和DefectDojo之间的数据格式兼容性，特别是关注时间格式和严重性级别的映射关系。

最佳实践建议

为避免类似问题，建议用户在集成安全工具时注意以下几点：

1. 版本兼容性：始终使用经过验证的版本组合，特别是主要版本更新时。

2. 数据验证：在自动化导入流程前，添加数据验证步骤，确保格式符合预期。

3. 监控日志：定期检查系统日志，及时发现和处理潜在的集成问题。

4. 测试策略：对关键集成点建立全面的测试用例，覆盖各种边界情况。

总结

DefectDojo与Wazuh的集成在特定版本中存在的严重性级别处理问题，反映了安全工具集成中常见的数据格式兼容性挑战。通过版本升级或适当的变通方案可以解决当前问题，而从长远来看，建立完善的集成测试和监控机制将有助于预防类似问题的发生。