报告
为在应用程序中发现的问题生成报告。将报告发送给开发人员、内部审计员、渗透测试者、经理和 CISO。安全信息可能比较广泛,并可根据您的需要进行过滤。
应用程序和扫描报告
在应用程序和扫描页面中,您可以生成有关应用程序当前状态的各种报告。
要生成应用程序报告,请执行以下操作:
- 对于应用程序:在应用程序页面上,单击管理按钮,然后选择报告。
对于扫描:在扫描页面上,单击按严重性排列的问题图表顶部的下载报告按钮。
此时会打开应用程序报告对话框。
- 为报告指定名称(或保留缺省名称),然后选择文件类型(
HTML
、PDF
,在某些情况下还有CSV
和XML
)。 - 添加将在报告顶部添加的注释。可选。
- 选择报告类型:
- 安全性报告:在应用程序中发现的所有问题的可配置报告。
- 行业标准报告:在下一步中,系统会弹出选择列表。
- 合规性报告:在下一步中,系统会弹出选择列表。
- 开放式源代码报告(仅限 SAST)
- 单击下一步继续。
安全性报告
可以为以下项生成安全性报告:
- 整个应用程序
- 特定扫描(如果该扫描已运行多次,您需要指定使用哪个执行)
- 过滤后的问题列表
要生成安全性报告:
- 请执行下列其中一项操作:
- 对于应用程序或扫描,请执行上述步骤。
- 对于问题列表,请应用过滤器以仅显示您希望包含在报告中的问题,然后单击安全性报告。
- 为报告指定名称(或保留缺省名称),然后选择文件类型(
HTML
、PDF
,在某些情况下还有CSV
和 \)。 - 添加将在报告顶部添加的注释。可选。
- 选中需要包含在报告中的部分对应的复选框,并取消选中不需要的部分对应的复选框。
- 单击生成报告。系统将生成报告并将其保存到您的计算机中。注: 对于过滤后的列表,单击该按钮时,将生成安全性报告。因此,与反映扫描完成时数据的常规安全性报告不同,过滤后的报告将反映发现问题的最新状态。例如,状态从新更改为已修订的问题在此报告中显示为已修订。注: 如果报告非常大,那么生成
PDF
格式报告可能会失败。在这种情况下,将改为生成HTML
格式报告。如果发生这种情况而又需要PDF
格式,请使用过滤器来创建较小的问题块,然后生成两份或更多报告。
行业标准报告和合规性报告
为应用程序选择以下报告:
行业标准 | 合规性 |
---|---|
2021 年 CWE Top 25 最危险的软件漏洞 | 加拿大信息自由与隐私保护法 (FIPPA) |
国际标准 - ISO 27001 | 欧盟通用数据保护条例 (GDPR) |
国际标准 - ISO 27002 | 支付应用程序数据安全标准 |
NIST 特刊 800-53 | PCI 合规性 |
OWASP API Security Top 10 2019 | 南非个人信息保护法 (PoPIA) |
OWASP Top 10 2017 | 美国加州消费者隐私法 (CCPA) - AB-375 |
OWASP Top 10 2021 | 美国 DISA 应用程序安全和开发 STIG。V5R2 |
OWASP Top 10 Mobile 2016 | 美国电子资金和转账法案 (EFTA) |
WASC 威胁分类 2.0 | 美国联邦信息安全现代化法案 (FISMA) |
美国联邦风险和授权管理程序 (FedRAMP) | |
美国健康保险携带和责任法案 (HIPAA) | |
美国萨班斯法案 (SOX) |
要为结果的子部分生成报告,例如仅高和严重,或仅在特定日期后发现的问题,您可以在生成报告之前对结果应用过滤器。
将扫描数据导出为 CSV
、JSON
或 SARIF
您可以从应用程序的问题列表或从扫描中将数据导出为
CSV
、JSON
或 SARIF
文件。注:
SARIF
选项仅适用于 SAST 问题,不包括 SCA(开源)问题。它不适用于免费订阅。要导出数据:
- 根据需要过滤问题列表,直到仅显示要导出的问题为止。
- 使用表右上方的列下拉列表,选择要包含的列。
- 在表顶部,单击导出。
此时会打开导出数据对话框。
- 输入文件的名称,然后选择
CSV
、JSON
或SARIF
。 - 单击导出。
数据便会导出到文件。