原則
您可以套用預先定義的原則以及您自己的自訂原則,以只顯示與您相關問題的資料。
ASoC 包含一系列預先定義的原則。您也可以使用預先定義的函數來建立您自己的自訂原則。透過使用者介面和 REST API 可以建立及管理原則。您最多可以將五個原則與任何應用程式建立關聯。此外,您可以套用基準線原則,它只會考慮在指定的日期和時間之後找到的問題。
註: 當您將原則與應用程式建立關聯時,原則預設為啟用。您可以停用原則,同時維持關聯性,並且在之後重新啟用原則。
註: 刪除原則時將會移除所有的關聯。
註: 如果未啟用任何原則,則只有在沒有嚴重性為「重大」、「高」、「中」或「低」的作用中問題時,才會將應用程式視為符合標準。您可以建立及啟用原則,以覆寫此預設相符性。
預先定義的原則
所有預先定義的原則都可透過使用者介面和 API 取得。可用的原則:
| 業界標準 | 合規性 |
|---|---|
| CWE 前 25 大最危險的軟體弱點 2021 | 加拿大資訊自由與隱私權保護法規 (FIPPA) |
| 國際標準 - ISO 27001 | EU 一般資料保護法規 (GDPR) |
| 國際標準 - ISO 27002 | 支付應用程式資料安全標準 |
| NIST 特殊出版 800-53 | PCI 合規性 |
| OWASP 前 10 大 API 安全性 2019 | 南非個人資訊保護法案 (PoPIA) |
| OWASP 2017 前 10 | 美國加州消費者隱私保護法 (CCPA) - AB-375 |
| OWASP 2021 前 10 | 美國 DISA 的應用程式安全及開發 STIG。V5R2 |
| OWASP 2016 前 10(行動式) | 美國電子資金移轉法案 (EFTA) |
| WASC 威脅分類 2.0 | 美國聯邦政府資訊安全現代化法案 (FISMA) |
| 美國聯邦風險與授權管理計畫 (FedRAMP) | |
| 美國健康保險隱私及責任法案 (HIPAA) | |
| 美國沙賓法案 (SOX) |
基準線原則
基準線原則會根據在設定日期之後第一次在應用程式中找到的問題來計算相符性。與預先定義的原則不同,基準線原則為單一應用程式特定。
基準線原則不會被計入可以與應用程式相關聯的五個原則之一。您可以有五個相關聯的原則,還有一個基準線原則。
若要設定應用程式的基準線原則,請執行下列動作:
- 在一般「應用程式」頁面上,按一下應用程式名稱以開啟特定應用程式的頁面。
- 在「原則」區域中,按一下管理原則。
- 按一下新增基準線原則(或者,如果已有基準線原則,則按一下更新基準線原則)。
- 視需要調整日期和時間,然後按一下設定基準線。
註: 如果您在執行個人掃描之後,以基準線原則來升級應用程式中的個人掃描,在掃描中發現的問題不會變更應用程式的狀態。這是因為問題是從發現時開始計算,而不是從升級掃描時計算。
自訂原則
您可以建立您自己的自訂原則。如需詳細資料,請參閱建立自訂原則。