Сканер кричит про CVE в зависимостях — как не сойти с ума от шума?

[andrey_async8]

Подключили Trivy в CI, теперь каждый билд это стена красных CRITICAL. Половина в транзитивных зависимостях которые мы даже не вызываем. Команда забила и просто игнорит. Как вы приоритизируете?

[julia_tcp61]

Смотри не на CVSS, а на EPSS и наличие в CISA KEV. CVSS 9.8 которую никто в мире не эксплуатирует менее опасна чем 6.5 из KEV. Это сразу режет список в разы.

[nullcore2015]

Половину CRITICAL убирает смена базового образа на distroless или alpine/chainguard. Ты просто выкидываешь пакеты которых там быть не должно. У нас образ похудел и CVE с 120 упало до 9.

[nulldaemon2798]

А с reachability analysis кто-то заморачивался? Хочется понимать реально ли уязвимая функция вызывается из нашего кода.

[boris585]

Да, у нас reachability через тулинг помог отсеять процентов 70 как 'код есть в дереве но не достижим'. Но настройка не бесплатная по времени, закладывай спринт. Зато потом разработчики перестают игнорить алерты.

[ksenia_dns]

Главное не превращайте сканер в семафор который всегда красный — это убивает культуру. Лучше блокировать билд только на KEV/высокий EPSS, остальное в бэклог с SLA. Иначе алертфатига и всё мимо.

[liza_ai42]

Окей, план: gate по CISA KEV + EPSS>0.5, distroless образ, остальное тикетами с дедлайнами. Спасибо, реально по делу.

[anna_ops79]

Ключевой вопрос который помогает отсечь шум: уязвимость реально достижима через код-пути которые ты используешь? Trivy умеет --ignore-unfixed (отсекает CVE без патча — их игнорить смысл есть, делать нечего) и можно настроить .trivyignore с конкретными CVE-ID и комментарием-обоснованием. Ещё полезно смотреть на EPSS score (вероятность эксплуатации в реальности) — часть CRITICAL с EPSS < 0.1% можно смело депиоритизировать.

[nina_real]

Практика которая у нас прижилась: разделяем severity по контексту. CRITICAL/HIGH в прямых зависимостях (dependencies в package.json/go.mod) — блокируют билд. CRITICAL/HIGH в транзитивных — создают тикет с SLA 2 недели, но не блокируют. LOW/MEDIUM везде — только в еженедельном отчёте. В Trivy это настраивается через --severity флаг и разные exit codes для разных стадий пайплайна.

[dataai1597]

Если половина команды уже игнорит — это сигнал что процесс настроен неправильно, а не что сканер плохой. Попробуй внедрить Dependency Review через GitHub Actions или аналог: он показывает только новые уязвимости в diff PR, а не весь накопленный хвост. Психологически гораздо проще фиксить то что ты сам только что добавил, чем разгребать 200 старых CVE.