Changement de la gravité d'un problème via la modification de son score CVSS
Le changement de gravité d'un problème est effectué sur la base de chaque problème de sorte que vous puissiez analyser chaque vulnérabilité par rapport à votre risque métier. Lors du triage des problèmes, vous pouvez changer la gravité d'un problème en remplaçant manuellement le score CVSS préalablement calculé par la valeur de gravité de sorte que vous puissiez prioriser sa gravité par rapport aux autres problèmes. La modification de la gravité permet de transmettre la criticité d'un problème à l'équipe de développement et à l'équipe de gestion de sorte que les vulnérabilités les plus graves soient corrigées en premier.
Pourquoi et quand exécuter cette tâche
: Working with CVSS in AppScan Enterprise: the Security Champion's perspective
Procédure
Résultats
La capture d'écran suivante explique comment nous avons trié les problèmes mis en évidence :
- Problème n° 5 : nous avons modifié les mesures de base CVSS mais nous n'avons pas changé la valeur de gravité, qui conserve sa catégorisation initiale, à savoir High. A présent, le score CVSS calculé est 5.3 et la catégorisation de gravité High ne change pas.
- Problème n° 7 : nous avons modifié les mesures de base CVSS et remplacé la valeur de gravité en indiquant Use CVSS. Le score CVSS calculé est 6.4 et désormais, la catégorisation de gravité est Medium.
- Problème n° 3 : nous n'avons pas modifié les mesures de base CVSS, mais nous avons remplacé la valeur de gravité en indiquant Use CVSS. Etant donné que les mesures de base sont inconnues, les informations disponibles ne sont pas suffisantes pour calculer le score CVSS et par conséquent, la catégorisation de gravité est Undetermined.