主页
管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
步骤 3：确定风险和划分漏洞优先级
了解如何确定风险，以及对在应用程序中识别的漏洞划分优先级。
确定风险
现在管理和安全分析人员具有整个企业中应用程序的综合视图，因此可以得到应用程序安全分析的完整情况。使用公式可创建用于自动化的应用程序资产分类的规则。应用程序安全风险分级的自动化计算基于应用程序的描述和所发现的漏洞。
确定问题严重性
安全性分析人员可以使用 CVSS 分数来确定问题严重性并为其组织对漏洞修订划分优先级。

管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
- 步骤 1：创建应用程序清单
  了解如何创建应用程序清单。
- 步骤 2：测试应用程序以查找漏洞
  了解如何在应用程序中测试识别的漏洞。
- 步骤 3：确定风险和划分漏洞优先级
  了解如何确定风险，以及对在应用程序中识别的漏洞划分优先级。
  - 确定风险
    现在管理和安全分析人员具有整个企业中应用程序的综合视图，因此可以得到应用程序安全分析的完整情况。使用公式可创建用于自动化的应用程序资产分类的规则。应用程序安全风险分级的自动化计算基于应用程序的描述和所发现的漏洞。
    - 公式组成部分
      产品管理员可以在您的属性公式中使用以下任何组成部分。
    - 函数示例
      这些函数在属性公式中使用。
    - 内置公式
      将内置公式用作创建或定制您自己的公式的起点。
    - 定制风险分级公式
      风险分级公式是用于描述应用程序的最重要的属性。使用此示例可定制内置风险分级。在此示例中，将根据不同应用程序属性自动计算业务影响。
    - 创建具有公式的属性
      创建和编辑包含公式的属性来计算应用程序的风险等级或显示应用程序摘要中的问题信息。删除不再相关的公式属性。
    - 修改公式
      您可以修改 AppScan Enterprise 的内置公式来根据您的业务需求对它们进行定制。例如，Open Issues 公式在其计算中包含 new、open 和 reopened 问题。这可能与您的需求不符合，因此您可以对其进行修改以仅包含 open 和 reopened 的问题。
    - 确定问题严重性
      安全性分析人员可以使用 CVSS 分数来确定问题严重性并为其组织对漏洞修订划分优先级。
      - CVSS 分数
        CVSS 分数反映漏洞的总体安全性影响，它是一个组合分数，反映了三个不同类别中的度量：基本、时间和环境。
      - 如何确定问题严重性
        AppScan® Enterprise 通过使用严重性公式或通过使用“严重性值”问题属性来确定问题严重性。
      - 通过修改问题的 CVSS 分数更改其严重性
        更改问题严重性是逐个问题来执行的，以便您可分析每个漏洞与业务风险的关联性。在问题分类期间，可以通过使用严重性值手动覆盖预先计算的 CVSS 分数来更改问题的严重性，从而能够将该问题的严重性设置为优先于其他问题。修改严重性有助于向开发和管理人员传达某个问题比较严重的信息，以便先修订更严重的漏洞。
  - 划分漏洞优先级
    了解如何在应用程序中识别的漏洞划分优先级。
- 步骤 4：补救任务
  了解如何修复在应用程序中识别的漏洞。
- 步骤 5：度量进度并获得合规性证明
  了解如何度量进度和获得合规性证明。

确定问题严重性

安全性分析人员可以使用 CVSS 分数来确定问题严重性并为其组织对漏洞修订划分优先级。

：Working with CVSS in AppScan Enterprise：the Security Champion's perspective