Changement de la gravité d'un problème via la modification de son score CVSS

Le changement de gravité d'un problème est effectué sur la base de chaque problème de sorte que vous puissiez analyser chaque vulnérabilité par rapport à votre risque métier. Lors du triage des problèmes, vous pouvez changer la gravité d'un problème en remplaçant manuellement le score CVSS préalablement calculé par la valeur de gravité de sorte que vous puissiez prioriser sa gravité par rapport aux autres problèmes. La modification de la gravité permet de transmettre la criticité d'un problème à l'équipe de développement et à l'équipe de gestion de sorte que les vulnérabilités les plus graves soient corrigées en premier.

Pourquoi et quand exécuter cette tâche

Cet exemple explique comment remplacer la gravité d'un problème.

consultez la vidéo sur YouTube : Working with CVSS in AppScan Enterprise: the Security Champion's perspective

Procédure

  1. Dans une application, cliquez sur l'ID problème de ce problème.

    Liste des problèmes d'une application.
  2. Cliquez sur Editer des attributs dans la boîte de dialogue A propos de ce problème.
  3. Si les mesures de base (Vecteur d'accès, Complexité de l'accès, Authentification, Impact sur la confidentialité, Impact sur l'intégrité, Impact sur la disponibilité) sont inconnues (vierges), sélectionnez une valeur pour chaque mesure.
    Dans cette capture d'écran, les mesures de base CVSS sont inconnues, il n'existe pas de score CVSS et la gravité du problème est High.
    Boîte de dialogue A propos de ce problème pour un problème.
  4. Changez la valeur de gravité en Use CVSS.
    Remarque : Si vous changez la valeur de gravité mais ne changez pas les mesures de base, le problème est catégorisé dans la liste des problèmes comme Undetermined, ce qui signifie que la formule de calcul de la gravité ne peut pas calculer précisément la gravité, car les informations qu'elle doit utiliser pour le calcul manquent.
    Dans cette capture d'écran, l'affichage de la colonne Valeur de gravité est activé pour que vous puissiez constater que la gravité est remplacée manuellement.Liste des problèmes mise à jour d'une application.

Résultats

La capture d'écran suivante explique comment nous avons trié les problèmes mis en évidence :
  • Problème n° 5 : nous avons modifié les mesures de base CVSS mais nous n'avons pas changé la valeur de gravité, qui conserve sa catégorisation initiale, à savoir High. A présent, le score CVSS calculé est 5.3 et la catégorisation de gravité High ne change pas.
  • Problème n° 7 : nous avons modifié les mesures de base CVSS et remplacé la valeur de gravité en indiquant Use CVSS. Le score CVSS calculé est 6.4 et désormais, la catégorisation de gravité est Medium.
  • Problème n° 3 : nous n'avons pas modifié les mesures de base CVSS, mais nous avons remplacé la valeur de gravité en indiquant Use CVSS. Etant donné que les mesures de base sont inconnues, les informations disponibles ne sont pas suffisantes pour calculer le score CVSS et par conséquent, la catégorisation de gravité est Undetermined.

Exemples de triage de la gravité des problèmes