組み込み数式

組み込み数式を基に、独自の数式を作成あるいはカスタマイズします。

注: ユーザー・ロール: 製品管理者

リスク等級

リスク等級の計算は、検出された問題の最も高い重大度とビジネスへの影響の組み合わせに基づいて行われます。高い値はリスクが高いことを示します。そのようなアプリケーションに対しては、最初に集中してセキュリティー・テストを行うようにしてください。

IF(businessimpact = 0, 0, IF(testingstatus > 0, 0, businessimpact * rr_maxseverity))

デフォルトのリスク等級の計算では、結果が値 (0 から 25) で得られます。これらの値は、概要グラフの説明テキストにマップされます。

説明
0 不明
1-8
9-14 ミディアム
15-19
20-25 きわめて重要
注:
  1. アプリケーションが完全にはテストされていない場合、またはビジネスへの影響が「未指定」の場合、リスク等級は 0 (不明) となります。
  2. テスト状況が「完了」とマークされ、重大度が「中」また「高」の問題が存在しない場合、計算ではビジネスへの影響は考慮されません。これに関連して、「完了」は、すべての脆弱性が検出されたことを意味せず、むしろ、注意するべき脆弱性が解決されて、残りの問題はアプリケーションにリスクをもたらさないことを意味します。
  3. リスク等級の数式を変更する場合、「セキュリティー・リスク等級」傾向グラフは、数式を変更した月から変更されます。
1. アプリケーション属性の数式
名前 数式
RR_MaxSeverity IF(criticalissues > 0 , 5, IF(highissues > 0, 4, IF(mediumissues > 0, 3, IF(lowissues > 0, 2, 1))))
最大重大度 IF(MAX(severity, status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect) > 0, MAX(severity, status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect), -1)
新規の問題 COUNT(status=new,classification=definitive,classification=suspect)
「重大」問題 COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=critical)
「高」の問題 COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=high)
「中」の問題 COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=medium)
「低」の問題 COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=low)
未解決の問題 COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=critical,severity=high,severity=medium,severity=low)
解決済みの問題 COUNT(status=fixed,classification=definitive,classification=suspect,severity=critical,severity=high,severity=medium,severity=low)
問題の総数 COUNT(status=new,status=open,status=reopened,status=inprogress,status=fixed,classification=definitive,classification=suspect,severity=critical,severity=high,severity=medium,severity=low)
処理中の作業 COUNT(status=inprogress,classification=definitive,classification=suspect,severity=critical,severity=high,severity=medium,severity=low)
2. 問題の属性の数式
名前 数式
重大度 IF(ISNULL(severityvalue, -1) = -1, cvss, severityvalue)
期限超過 IF(classification=scancoveragefindings,0,IF(status=noise,0,IF(status=passed,0,IF(status=fixed,0,AGE()-IF(severity>10, 3, IF(severity>7.4, 5, IF(severity>5, 7, IF(severity>1.9, 14, 100))))))))
注:
  1. v9.0.3.1 iFix2: 以前のバージョンでは、期限切れの数式の計算にスキャン範囲検出結果が含まれていなかったので、「アプリケーション」タブと「ポートフォリオ」タブに表示される数値に矛盾が生じました。v9.0.3.1 iFix2 では、スキャン範囲検出結果を含めるように期限切れの数式を編集する必要があります。数式の先頭に IF(classification=scancoveragefindings,0, を追加して、最後尾に右大括弧を追加する必要があります。
  2. AGE は編集できません。これは問題が生じてからの経過日数です。
  3. 重大度数式の範囲を編集する場合、期限切れの数式も編集する必要があります。そうでないと非同期になります。
以下に期限切れの数式がどのように分類されるかを示します。問題状況がノイズ、パス済み、または修正済みである場合、問題は期限切れになりません。それ以外の場合は、数式は「issue AGE - severity mapping」です。
3. 重大度と期限切れ日数のマッピング
重大度の範囲 期限切れの日数
10 より大 きわめて重要 3
7.4 より大 5
5 より大 ミディアム 7
1.9 より大 14
1.9 より小 情報 100