Lorsqu'une application comporte de nombreux examens détectant un grand nombre de vulnérabilités, utilisez des filtres reposant sur des attributs de problème prédéfinis, comme l'attribut Gravité du problème, Type de problème ou Etat du problème pour que la liste ait une taille plus gérable.
Pourquoi et quand exécuter cette tâche
Vous ne pouvez pas effectuer de filtrage d'après ces attributs de problème :
- ID
- Emplacement
- Dernière mise à jour
- Date de création
- Date correctif
- Description
- IssueXML
- Commentaires
Procédure
-
Ouvrez la première application pour laquelle procéder au triage. Par défaut, la liste des problèmes est regroupée par Gravité. Vous pouvez aussi procéder au regroupement par Type de problème, Etat ou Scanner. Les filtres de classification de la liste s'affichent automatiquement dans la barre d'options latérale.
-
Utilisez la zone Ajouter des filtres pour affiner la liste des filtres. Par exemple, pour rechercher les adresses URL qui sont vulnérables aux problèmes de sécurité, procédez à un filtrage par domaine, puis par chemin. La liste devient plus courte et affiche toutes les vulnérabilités détectées dans la page. Si la liste est encore trop longue, procédez à un filtrage par type de problème ou gravité de problème.
Remarque : Si vous filtrez sur un état qui est personnalisé pour être masqué de la vue (noise, passed ou fixed), l'état filtré est toujours affiché dans la liste des problèmes.
-
Pour rechercher un problème spécifique, entrez son numéro d'ID problème dans la zone Ajouter des filtres. Il est ainsi possible de rechercher les problèmes qui ont pu être détectés dans un message électronique, un fichier PDF, un système de suivi des défauts ou un ancien rapport.
- Pour mettre en évidence les problèmes d'analyse dynamique (DAST) ou d'analyse statique (SAST), procédez à un filtrage par méthode de reconnaissance. Ensuite, vous pouvez effectuer un filtrage par type de problème, puis par chemin.
- Cliquez sur l'ID problème de chaque problème pour ouvrir un rapport Rapport À propos de ce problème unique. Ce rapport fournit des informations détaillées sur le problème avec des conseils que les développeurs QA et Web peuvent appliquer dans le cadre du processus de résolution.
- Procédez à un filtrage par nom d'examen pour isoler la zone de l'application à l'origine des vulnérabilités. Vous pourrez ainsi déterminer si la couverture de l'application est complète. Cette méthode est utile si une application présente de nombreux problèmes ou s'il existe de nombreux examens. Ensuite, procédez à un filtrage par type de problème.
-
Pour rendre les en-têtes de colonne de problème SAST visibles, sélectionnez-les dans le menu d'agencement de grille Sélection de colonne. Par défaut, ces en-têtes de colonne sont masqués car les problèmes SAST doivent être importés depuis AppScan® Source.
-
Pour afficher l'onglet Trace du rapport About this Issue , procédez à un filtrage par fichier source, puis par ID problème.
-
Procédez à un filtrage par fichier source, puis par API. Cette combinaison de filtres affiche l'API et les arguments qui lui sont transmis.
-
Procédez à un filtrage par classification, puis par Résultats de couverture de l'examen afin de déterminer les zones dans lesquelles la configuration d'examen dans AppScan Source peut être améliorée pour une meilleure couverture d'examen, comme les résultats de collecteur indéterminé.
Remarque : Nouveautés de la version 9.0.3.1 iFix2 : par défaut, les résultats de couverture de l'examen sont filtrés à partir de la vue. Pour supprimer la valeur par défaut, sélectionnez puis désélectionnez la case à cocher Résultats de couverture de l'examen. Cette action a des conséquences sur les formules qui s'affichent dans l'onglet Portefeuille car les formules n'incluent aucun résultat de couverture de l'examen dans leurs calculs.
Résultats
Les filtres sont sauvegardés pour chaque application spécifique.
