組み込み数式

組み込み数式を基に、独自の数式を作成あるいはカスタマイズします。

注: ユーザー・ロール: 製品管理者

リスク等級

リスク等級の計算は、検出された問題の最も高い重大度とビジネスへの影響の組み合わせに基づいて行われます。高い値はリスクが高いことを示します。そのようなアプリケーションに対しては、最初に集中してセキュリティー・テストを行うようにしてください。

IF(businessimpact = 0, 0, IF(testingstatus > 0, 0, businessimpact * rr_maxseverity))

デフォルトのリスク等級の計算では、結果が値 (0 から 25) で得られます。これらの値は、概要グラフの説明テキストにマップされます。

説明
0 不明
1-8
9-14
15-19
20-25 きわめて重要
注:
  1. アプリケーションが完全にはテストされていない場合、またはビジネスへの影響が「未指定」の場合、リスク等級は 0 (不明) となります。
  2. テスト状況が「完了」とマークされ、重大度が「中」また「高」の問題が存在しない場合、計算ではビジネスへの影響は考慮されません。これに関連して、「完了」は、すべての脆弱性が検出されたことを意味せず、むしろ、注意するべき脆弱性が解決されて、残りの問題はアプリケーションにリスクをもたらさないことを意味します。
  3. リスク等級の数式を変更する場合、セキュリティー・リスク等級の傾向グラフは、数式を変更した月の時点で変更されます。
1. アプリケーション属性の数式
名前
RR_MaxSeverity IF(criticalissues > 0 , 5, IF(highissues > 0, 4, IF(mediumissues > 0, 3, IF(lowissues > 0, 2, 1))))
最大重大度 IF(MAX(severity, status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect) > 0, MAX(severity, status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect), -1)
新規の問題 COUNT(status=new,classification=definitive,classification=suspect)
「重大」問題 COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=critical)
「高」の問題 COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=high)
「中」の問題 COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=medium)
「低」の問題 COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=low)
未解決の問題 COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=critical,severity=high,severity=medium,severity=low)
解決済みの問題 COUNT(status=fixed,classification=definitive,classification=suspect,severity=critical,severity=high,severity=medium,severity=low)
問題の総数 COUNT(status=new,status=open,status=reopened,status=inprogress,status=fixed,classification=definitive,classification=suspect,severity=critical,severity=high,severity=medium,severity=low)
処理中の作業 COUNT(status=inprogress,classification=definitive,classification=suspect,severity=critical,severity=high,severity=medium,severity=low)
2. 問題の属性の数式
名前
重要度 IF(ISNULL(severityvalue, -1) = -1, cvss, severityvalue)
期限切れ IF(classification=scancoveragefindings,0,IF(status=noise,0,IF(status=passed,0,IF(status=fixed,0,AGE()-IF(severity>8.9, 3, IF(severity>6.9, 5, IF(severity>3.9, 7, IF(severity>0, 14, 100))))))))
注:
  1. AGE は編集できません。これは問題が生じてからの経過日数です。
  2. 重大度数式の範囲を編集する場合は、期限切れの数式を編集する必要があります。そうしなければ式は同期されません。
以下に期限切れの数式がどのように分類されるかを示します。それ以外の場合は、数式は「issue AGE - severity mapping」です。
3. 重大度と期限切れ日数のマッピング
重大度の範囲期限切れの日数
9.0 より大きわめて重要三 
7.0 より大
4.0 より大
0.1 より大14
0.1 より小情報100