implementing-vulnerability-remediation-sla

漏洞修复 SLA(服务级别协议)根据严重程度、资产重要性和漏洞利用可用性定义修补或缓解已识别漏洞的强制时限。有效的 SLA 计划推动责任落实、确保一致的修复时间线,并为漏洞管理成熟度提供可衡量的 KPI。

9 stars

Best use case

implementing-vulnerability-remediation-sla is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

漏洞修复 SLA(服务级别协议)根据严重程度、资产重要性和漏洞利用可用性定义修补或缓解已识别漏洞的强制时限。有效的 SLA 计划推动责任落实、确保一致的修复时间线,并为漏洞管理成熟度提供可衡量的 KPI。

Teams using implementing-vulnerability-remediation-sla should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/implementing-vulnerability-remediation-sla/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/implementing-vulnerability-remediation-sla/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/implementing-vulnerability-remediation-sla/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How implementing-vulnerability-remediation-sla Compares

Feature / Agentimplementing-vulnerability-remediation-slaStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

漏洞修复 SLA(服务级别协议)根据严重程度、资产重要性和漏洞利用可用性定义修补或缓解已识别漏洞的强制时限。有效的 SLA 计划推动责任落实、确保一致的修复时间线,并为漏洞管理成熟度提供可衡量的 KPI。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 实施漏洞修复 SLA

## 概述
漏洞修复 SLA(服务级别协议,Service Level Agreement)根据严重程度、资产重要性和漏洞利用可用性,定义修补或缓解已识别漏洞的强制时限。有效的 SLA 计划推动责任落实、确保一致的修复时间线,并为漏洞管理成熟度提供可衡量的 KPI(关键绩效指标)。

## 前置条件
- 定期产出发现结果的漏洞扫描计划
- 包含重要性分类的资产清单
- 用于修复跟踪的工单系统(Jira、ServiceNow 等)
- SLA 执行的高管支持
- IT 运营、开发和安全团队的跨职能协议

## 核心概念

### SLA 框架组件
1. **严重程度分类**:CVSS 基础分数 + 威胁上下文(EPSS、KEV)
2. **资产分层**:业务重要性和暴露程度
3. **修复时间框架**:按类别的最大修复天数
4. **例外流程**:SLA 延期的书面审批
5. **升级程序**:违反 SLA 时的行动
6. **指标和报告**:合规性跟踪的 KPI

### 推荐的 SLA 矩阵
| 严重程度 | Tier 1(关键) | Tier 2(重要) | Tier 3(标准) |
|----------|-------------------|--------------------|--------------------|
| 关键(CVSS 9.0-10.0) | 24-48 小时 | 72 小时 | 7 天 |
| 高(CVSS 7.0-8.9) | 7 天 | 14 天 | 30 天 |
| 中(CVSS 4.0-6.9) | 30 天 | 45 天 | 60 天 |
| 低(CVSS 0.1-3.9) | 90 天 | 90 天 | 90 天 |
| CISA KEV 列表 | 24 小时 | 48 小时 | 7 天 |

### SLA 加速因素(SLA 缩短 50%)
- 公开可用的漏洞利用代码
- 在野外观察到的主动利用(CISA KEV)
- 受影响的互联网可访问资产
- EPSS 分数 > 0.5(50% 利用概率)
- 之前曾通过类似漏洞类型发生过违规

## 实施步骤

### 步骤 1:定义资产分层
```
Tier 1(关键资产):
- 面向客户的生产系统
- 支付处理基础设施
- 域控制器和身份系统
- 核心网络基础设施(防火墙、路由器)
- 包含 PII/PHI/PCI 数据的数据库

Tier 2(重要资产):
- 内部生产应用程序
- 电子邮件和协作系统
- 含有生产数据的开发/预发布环境
- 备份和恢复基础设施
- VPN 和远程访问网关

Tier 3(标准资产):
- 终端用户工作站
- 开发/测试环境
- 打印服务器和外设管理
- 非关键内部工具
```

### 步骤 2:建立 SLA 策略文档
需要包含的关键部分:
- 目的和范围
- 角色和职责(RACI 矩阵)
- 严重程度定义和计算方法
- 按严重程度和资产分层的修复时间框架
- 例外请求流程和批准权限
- SLA 违规的升级程序
- 指标、报告频率和治理
- 策略审查和更新计划

### 步骤 3:与工单系统集成
```python
# ServiceNow/Jira 集成,自动创建工单
# 修复工单的关键字段:
# - 漏洞 ID(CVE/插件 ID)
# - 受影响主机
# - 严重程度(CVSS + 上下文因素)
# - 资产分层
# - SLA 截止日期(从发现日期计算)
# - 负责团队
# - 修复说明
# - 验证标准
```

### 步骤 4:配置升级链
```
SLA 状态            动作                        通知对象
──────────────────────────────────────────────────────────────
75% 已用时         警告邮件                     资产负责人
100% 已用时        SLA 违规通知                 管理者 + CISO
100% + 7 天        高管升级                     VP/CTO
100% + 30 天       需要风险接受                  CISO 批准
100% + 90 天       强制补偿控制                  董事会报告
```

### 步骤 5:建立例外流程
有效的例外原因:
- 系统无法在不造成重大停机的情况下打补丁(安排维护窗口)
- 无供应商补丁可用(应用补偿控制)
- 补丁破坏关键功能(需要测试结果作为证据)
- 生命周期结束的系统待退役(记录风险接受)

例外要求:
- 书面理由及业务影响说明
- 补偿控制已记录并实施
- 由资产负责人和安全领导层批准
- 最长例外期限:90 天(可重新批准续期)
- 在漏洞管理平台中跟踪

## 关键绩效指标(KPI)

### 主要指标
| KPI | 定义 | 目标 |
|-----|-----------|--------|
| SLA 合规率 | 在 SLA 内修复的漏洞百分比 | >90% |
| 平均修复时间(MTTR) | 从发现到修复的平均天数 | 关键:<3 天,高:<10 天 |
| 漏洞积压 | 超过 SLA 的开放漏洞 | <5% 总数 |
| 例外率 | 有活跃例外的发现百分比 | <10% |
| 复发率 | 修复后重新出现的漏洞百分比 | <5% |

### 趋势指标
- 按月 SLA 合规趋势
- 按严重程度的 MTTR 趋势
- 每资产漏洞密度(漏洞数/主机)
- 补丁覆盖率(已扫描且合规的资产百分比)
- 首次响应时间(发现确认)

## 最佳实践
1. 从可实现的 SLA 开始,随着成熟度提高逐步收紧
2. 使用自动化工单消除手动 SLA 跟踪
3. 为修复团队提供清晰的修复说明,而不仅仅是 CVE 编号
4. 在团队/部门级别跟踪 SLA 合规性以落实责任
5. 每月向高管层报告 SLA 指标
6. 将补偿控制纳入有效的临时修复措施
7. 使 SLA 与法规要求对齐(PCI DSS、HIPAA、SOX)
8. 根据威胁态势变化每年审查和调整 SLA

## 常见陷阱
- 设置团队无法满足的不切实际 SLA(造成 SLA 疲劳)
- 高管不执行 SLA 违规处理
- 未按分层差异化处理所有资产
- 未在 SLA 计算中考虑漏洞上下文(EPSS、KEV)
- 缺少例外管理流程(导致未跟踪的风险)
- 仅衡量合规率而不分析违规根本原因

## 相关技能
- prioritizing-vulnerabilities-with-cvss-scoring
- implementing-patch-management-workflow
- implementing-vulnerability-metrics-and-reporting
- implementing-exception-management-process

Related Skills

testing-api-for-mass-assignment-vulnerability

9
from killvxk/cybersecurity-skills-zh

测试 API 是否存在批量赋值(mass assignment,自动绑定)漏洞——攻击者可在 API 请求中附加额外参数,从而修改本不应被访问的对象属性。测试人员识别可写端点,向请求体注入未公开字段(role、isAdmin、price、balance),验证服务器是否在未过滤的情况下将这些字段绑定到数据模型。属于 OWASP API3:2023 Broken Object Property Level Authorization 范畴。适用于批量赋值测试、参数绑定滥用、自动绑定漏洞或 API 过度发布(over-posting)相关请求。

performing-web-application-vulnerability-triage

9
from killvxk/cybersecurity-skills-zh

使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。

performing-vulnerability-scanning-with-nessus

9
from killvxk/cybersecurity-skills-zh

使用 Tenable Nessus 执行认证和未认证漏洞扫描,识别网络基础设施、服务器和应用程序中的已知漏洞、 错误配置、默认凭据和缺失补丁。扫描器将发现与 CVE 数据库和 CVSS 评分关联,生成优先级修复指导。 适用于漏洞扫描、Nessus 评估、补丁合规检查或自动化漏洞检测等请求场景。

performing-ssrf-vulnerability-exploitation

9
from killvxk/cybersecurity-skills-zh

通过探测云元数据端点、内网服务和协议处理器,检测用户可控 URL 参数中的 服务端请求伪造(SSRF)漏洞。测试 AWS/GCP/Azure 元数据 API(169.254.169.254)、 通过 HTTP 进行内网端口扫描、URL 协议绕过技术以及 DNS 重绑定检测。

performing-ot-vulnerability-scanning-safely

9
from killvxk/cybersecurity-skills-zh

使用被动监控、原生协议查询和经过精心控制的Tenable OT Security主动扫描,在OT/ICS环境中安全执行漏洞扫描,在不破坏工业过程或导致旧版控制器崩溃的情况下识别漏洞。

performing-ot-vulnerability-assessment-with-claroty

9
from killvxk/cybersecurity-skills-zh

本技能涵盖使用Claroty xDome平台在OT环境中执行漏洞评估,实现全面资产发现、风险评分、漏洞关联和修复优先级排序。内容涉及通过流量分析进行被动漏洞识别、OT设备安全主动查询、与CVE数据库和ICS-CERT公告集成,以及考虑运营影响和补偿控制措施的基于风险的优先级排序。

performing-endpoint-vulnerability-remediation

9
from killvxk/cybersecurity-skills-zh

通过基于风险评分对 CVE 进行优先级排序、部署补丁、应用配置变更和验证修复 来执行端点漏洞修复。适用于修复漏洞扫描发现的问题、响应严重 CVE 公告 或维护端点合规性与补丁管理 SLA 的场景。适用于涉及漏洞修复、CVE 补丁、 端点漏洞管理或安全修复部署的请求。

performing-authenticated-vulnerability-scan

9
from killvxk/cybersecurity-skills-zh

认证(凭据)漏洞扫描使用有效的系统凭据登录目标主机,对已安装软件、补丁、配置和安全设置进行深度检查,相比未认证扫描可发现 45-60% 更多漏洞。

performing-agentless-vulnerability-scanning

9
from killvxk/cybersecurity-skills-zh

配置并执行无代理漏洞扫描(agentless vulnerability scanning),利用网络协议、云快照分析和基于 API 的发现方式评估系统安全,无需在端点安装 Agent。

performing-active-directory-vulnerability-assessment

9
from killvxk/cybersecurity-skills-zh

使用 PingCastle、BloodHound 和 Purple Knight 评估 Active Directory 安全态势,识别错误配置、权限提升路径和攻击向量。

implementing-zero-trust-with-hashicorp-boundary

9
from killvxk/cybersecurity-skills-zh

使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。

implementing-zero-trust-with-beyondcorp

9
from killvxk/cybersecurity-skills-zh

使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。