在Veracode里头,漏洞的评级要怎么看,还有那些漏洞的优先级,又该照着什么来给它排一排先后,光去盯着页面上那一个严重的等级,是不大够的。Veracode在扫描跑完了以后,会把漏洞的严重程度、它属于哪一类、窝在哪个地方、策略上是个什么状态,这些个信息都给列出来,团队这边真正要做的,是要把这些个信息,跟业务上受不受影响、是不是亮在了外头、修起来麻不麻烦,全搁在一块堆儿去琢磨。官方的数据字典里头也说了,Veracode做静态分析的时候,常用S0到S5来表示严重的程度,S0是那种信息类的,S1是很低的,S2是低,S3是中,S4是高,S5就是很高了。
2026-06-29