报告

为在应用程序中发现的问题生成报告。将报告发送给开发人员、内部审计员、渗透测试者、经理和 CISO。安全信息可能比较广泛,并可根据您的需要进行过滤。

应用程序和扫描报告

应用程序扫描页面中,您可以生成有关应用程序当前状态的各种报告。

要生成应用程序报告,请执行以下操作:
  1. 对于应用程序:在应用程序页面上,单击管理按钮,然后选择报告

    对于扫描:在扫描页面上,单击按严重性排列的问题图表顶部的下载报告按钮。

    此时会打开应用程序报告对话框。

  2. 为报告指定名称(或保留缺省名称),然后选择文件类型(HTMLPDF,在某些情况下还有 CSVXML)。
  3. 添加将在报告顶部添加的注释。可选。
  4. 选择报告类型:
    • 安全性报告:在应用程序中发现的所有问题的可配置报告。
    • 行业标准报告:在下一步中,系统会弹出选择列表。
    • 合规性报告:在下一步中,系统会弹出选择列表。
    • 开放式源代码报告(仅限 SAST)
  5. 单击下一步继续。

安全性报告

可以为以下项生成安全性报告:
  • 整个应用程序
  • 特定扫描(如果该扫描已运行多次,您需要指定使用哪个执行)
  • 过滤后的问题列表
要生成安全性报告:
  1. 请执行下列其中一项操作:
    • 对于应用程序或扫描,请执行上述步骤。
    • 对于问题列表,请应用过滤器以仅显示您希望包含在报告中的问题,然后单击安全性报告
    此时会打开安全性报告对话框。
  2. 为报告指定名称(或保留缺省名称),然后选择文件类型(HTMLPDF,在某些情况下还有 CSV 和 \)。
  3. 添加将在报告顶部添加的注释。可选。
  4. 选中需要包含在报告中的部分对应的复选框,并取消选中不需要的部分对应的复选框。
  5. 单击生成报告
    系统将生成报告并将其保存到您的计算机中。
    注: 对于过滤后的列表,单击该按钮时,将生成安全性报告。因此,与反映扫描完成时数据的常规安全性报告不同,过滤后的报告将反映发现问题的最新状态。例如,状态从更改为已修订的问题在此报告中显示为已修订
    注: 如果报告非常大,那么生成 PDF 格式报告可能会失败。在这种情况下,将改为生成 HTML 格式报告。如果发生这种情况而又需要 PDF 格式,请使用过滤器来创建较小的问题块,然后生成两份或更多报告。

行业标准报告和合规性报告

为应用程序选择以下报告:
行业标准 合规性
2021 年 CWE Top 25 最危险的软件漏洞 加拿大信息自由与隐私保护法 (FIPPA)
国际标准 - ISO 27001 欧盟通用数据保护条例 (GDPR)
国际标准 - ISO 27002 支付应用程序数据安全标准
NIST 特刊 800-53 PCI 合规性
OWASP API Security Top 10 2019 南非个人信息保护法 (PoPIA)
OWASP Top 10 2017 美国加州消费者隐私法 (CCPA) - AB-375
OWASP Top 10 2021 美国 DISA 应用程序安全和开发 STIG。V5R2
OWASP Top 10 Mobile 2016 美国电子资金和转账法案 (EFTA)
WASC 威胁分类 2.0 美国联邦信息安全现代化法案 (FISMA)
美国联邦风险和授权管理程序 (FedRAMP)
美国健康保险携带和责任法案 (HIPAA)
美国萨班斯法案 (SOX)

要为结果的子部分生成报告,例如仅严重,或仅在特定日期后发现的问题,您可以在生成报告之前对结果应用过滤器。

将扫描数据导出为 CSVJSONSARIF

您可以从应用程序的问题列表或从扫描中将数据导出为 CSVJSONSARIF 文件。
注: SARIF 选项仅适用于 SAST 问题,不包括 SCA(开源)问题。它不适用于免费订阅。
要导出数据:
  1. 根据需要过滤问题列表,直到仅显示要导出的问题为止。
  2. 使用表右上方的下拉列表,选择要包含的列。
  3. 在表顶部,单击导出

    此时会打开导出数据对话框。

  4. 输入文件的名称,然后选择 CSVJSONSARIF
  5. 单击导出

    数据便会导出到文件。