Détermination de la gravité du problème

AppScan® Enterprise détermine la gravité d'un problème à l'aide de la formule de calcul de la gravité ou d'un attribut de problème "Valeur de gravité".

La formule de calcul de la gravité ne peut pas être modifiée. Toutefois, vous pouvez changer la valeur prédéterminée de l'attribut Valeur de gravité et puisque cet attribut est utilisé dans la formule de calcul de la gravité, vous pouvez changer la gravité d'un problème de cette façon.

Vous pouvez aussi modifier les valeurs de plage associées à la formule de calcul de la gravité. Ces plages définissent l'affichage du texte pour les plages de gravités numériques. Le texte utilisé comme nom de plage, par exemple Information ou Critical, est généralement plus facile à comprendre lorsqu'il est appliqué comme regroupement par gravité dans la vue Application que la valeur numérique qui représente le résultat de la formule de calcul de la gravité.
Conseil : Si vous changez les plages numériques de la formule de calcul de la gravité dans le modèle de profil de problème, modifiez les valeurs numériques de l'attribut Valeur de gravité dans le même modèle pour que ces valeurs soient synchronisées.

L'une des valeurs prédéterminées de l'attribut Valeur de gravité est Use CVSS. Lorsque cette valeur est utilisée, la formule de calcul de la gravité utilise le score CVSS pour déterminer la gravité du problème. Si vous utilisez une autre valeur pour l'attribut Valeur de gravité, comme le type de problème, cette valeur est utilisée comme gravité d'un problème au lieu d'utiliser le calcul du score CVSS.

Gravité de problème critique

Parfois, il est nécessaire de communiquer la criticité d'un problème à l'équipe de développement et à l'équipe de gestion pour que ce problème particulier soit traité rapidement et corrigé en premier. Pour distinguer ce problème des autres problèmes, associez sa valeur de gravité à Critical. La valeur Critique est une valeur de gravité spéciale. Sa valeur numérique dépasse le cadre des gravités par défaut et peut être définie uniquement pour chaque problème pris individuellement lors du triage.

Définition du score CVSS et de la gravité pour les problèmes détectés par les travaux d'examen de contenu

Le score CVSS des problèmes détectés par les travaux d'examen de contenu est calculé automatiquement, car toutes les informations nécessaires sont déterminées en fonction du type de vulnérabilité que représente le problème.

Lorsque vous modifiez la gravité d'un problème par le biais des rapports dans AppScan® Enterprise, l'attribut Valeur de gravité du problème est défini sur la même valeur. Ce processus s'applique aussi lorsque des problèmes sont mis à niveau depuis des versions précédentes d'AppScan® Enterprise.

Définition du score CVSS et de la gravité pour les problèmes importés dans AppScan® Enterprise

Tableau 1. Définition du score CVSS et de la gravité pour les problèmes importés dans AppScan® Enterprise

Problèmes importés
Origine du problème Détermination de la gravité du problème
Importation à partir de toutes les versions d'AppScan® Source Les informations qui permettent le calcul du score CVSS ne sont pas disponibles dans les fichiers d'importation. AppScan Enterprise définit la gravité d'un problème en fonction de la gravité spécifiée pour le type de problème de la vulnérabilité. Les informations du score CVSS sont calculées en fonction du type de vulnérabilité.
Importation depuis AppScan® Standard versions 9.0 et antérieures Les informations qui permettent le calcul du score CVSS ne sont pas disponibles dans les fichiers d'importation pour les problèmes détectés dans des versions plus anciennes du produit. AppScan® Enterprise définit la gravité d'un problème en fonction de la gravité spécifiée pour le type de problème de la vulnérabilité.
Importation depuis AppScan® Standard versions 9.0.1 et ultérieures Les informations qui permettent le calcul du score CVSS sont transmises à AppScan® Enterprise au cours de l'importation et la Valeur de gravité est dérivée du score CVSS résultant.
Importation de problèmes depuis un fichier CSV Le profil de scanner permet le mappage entre les colonnes d'attributs dans le fichiers CSV et les attributs de problème utilisés par AppScan Enterprise. Le calcul du score CVSS et la gravité qui en résulte dépendent des informations disponibles dans le fichier CSV et du mode de mappage aux attributs représentant les mesures CVSS.

Si les attributs CVSS requis sont disponibles, AppScan Enterprise peut utiliser la formule CVSS pour calculer la gravité. Si le calcul du score CVSS n'est pas disponible, AppScan Enterprise définit la gravité d'un problème en fonction de la valeur de gravité. Si cette valeur n'est pas disponible, AppScan Enterprise utilise la gravité par défaut qui est définie dans le type de problème de la vulnérabilité.
Importation de problèmes depuis un fichier CSV de rapport AppScan Standard version 9.0.3 Les données de rapport d'AppScan Standard version 9.0.3 qui sont sauvegardées dans un fichier XML peuvent être importées dans la vue Surveillance d'AppScan Enterprise. Les informations qui permettent le calcul du score CVSS ne sont pas disponibles dans le fichier d'importation. AppScan Enterprise définit la valeur de gravité d'un problème en fonction de la gravité spécifiée dans le fichier d'importation. Les informations du score CVSS sont calculées en fonction du type de vulnérabilité.
Importation de problèmes depuis des scanners XML AppScan Enterprise définit la gravité d'un problème en fonction de la valeur de gravité spécifiée dans le fichier XML.

Conservation du score CVSS et de la gravité manuellement définis importés depuis AppScan® Source et AppScan® Standard

Si vous avez géré des problèmes dans AppScan® Source ou AppScan Standard et que vous voulez conserver ces paramètres lorsque vous importez ces problèmes dans AppScan® Enterprise, vous pouvez demander à votre administrateur de sélectionner la case à cocher Utiliser les paramètres du fichier importé dans la page Administration > Paramètres généraux > Paramètres Enterprise Console. Une fois ce paramètre activé, les règles de traitement décrites dans le tableau ci-dessous s'appliquent.

Tableau 2. Conservation du score CVSS et de la gravité manuellement définis importés depuis AppScan® Source et AppScan® Standard
Origine du problème Détermination de la gravité du problème
Importation à partir de toutes les versions d'AppScan® Source Les informations qui permettent le calcul du score CVSS ne sont pas disponibles dans les fichiers d'importation pour les problèmes. La gravité du problème et les attributs Valeur de gravité sont associés à la gravité spécifiée dans le fichier d'importation.
Importation depuis AppScan® Standard versions 9.0 et antérieures Les informations qui permettent le calcul du score CVSS ne sont pas disponibles dans les fichiers d'importation pour les problèmes. La gravité du problème et les attributs Valeur de gravité sont associés à la gravité spécifiée dans le fichier d'importation.
Importation depuis AppScan® Standard versions 9.0.1 et ultérieures Les informations qui contribuent au calcul du score CVSS et à la gravité définie manuellement sont disponibles dans le fichier d'importation. Le score CVSS et la gravité sont tous les deux définis dans AppScan® Enterprise conformément à ce fichier.