主页
管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
步骤 3：确定风险和划分漏洞优先级
了解如何确定风险，以及对在应用程序中识别的漏洞划分优先级。
确定风险
现在管理和安全分析人员具有整个企业中应用程序的综合视图，因此可以得到应用程序安全分析的完整情况。使用公式可创建用于自动化的应用程序资产分类的规则。应用程序安全风险分级的自动化计算基于应用程序的描述和所发现的漏洞。
公式组成部分
产品管理员可以在您的属性公式中使用以下任何组成部分。

管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
- 步骤 1：创建应用程序清单
  了解如何创建应用程序清单。
- 步骤 2：测试应用程序以查找漏洞
  了解如何在应用程序中测试识别的漏洞。
- 步骤 3：确定风险和划分漏洞优先级
  了解如何确定风险，以及对在应用程序中识别的漏洞划分优先级。
  - 确定风险
    现在管理和安全分析人员具有整个企业中应用程序的综合视图，因此可以得到应用程序安全分析的完整情况。使用公式可创建用于自动化的应用程序资产分类的规则。应用程序安全风险分级的自动化计算基于应用程序的描述和所发现的漏洞。
    - 公式组成部分
      产品管理员可以在您的属性公式中使用以下任何组成部分。
    - 函数示例
      这些函数在属性公式中使用。
    - 内置公式
      将内置公式用作创建或定制您自己的公式的起点。
    - 定制风险分级公式
      风险分级公式是用于描述应用程序的最重要的属性。使用此示例可定制内置风险分级。在此示例中，将根据不同应用程序属性自动计算业务影响。
    - 创建具有公式的属性
      创建和编辑包含公式的属性来计算应用程序的风险等级或显示应用程序摘要中的问题信息。删除不再相关的公式属性。
    - 修改公式
      您可以修改 AppScan Enterprise 的内置公式来根据您的业务需求对它们进行定制。例如，Open Issues 公式在其计算中包含 new、open 和 reopened 问题。这可能与您的需求不符合，因此您可以对其进行修改以仅包含 open 和 reopened 的问题。
    - 确定问题严重性
      安全性分析人员可以使用 CVSS 分数来确定问题严重性并为其组织对漏洞修订划分优先级。
  - 划分漏洞优先级
    了解如何在应用程序中识别的漏洞划分优先级。
- 步骤 4：补救任务
  了解如何修复在应用程序中识别的漏洞。
- 步骤 5：度量进度并获得合规性证明
  了解如何度量进度和获得合规性证明。

公式组成部分

产品管理员可以在您的属性公式中使用以下任何组成部分。

注：用户角色：产品管理员

运算符

运算符是可在公式中使用的操作。

表 1. 运算符
运算符
运算符	描述
+ （加号）	相加 (5+1)
/（正斜杠）	相除 (6/3)
*（星号）	乘法。 (2*4)
-（减号）	减法。(9-2)
< （大于符号）	大于 (x > y)
> （小于符号）	小于 (y < x)
=（等于符号）	等于 (x = y)
%（百分比符号）	计算一个数字除以另一个数字的余数。
()（括号）	说明括号中的表达式将首先计算。所有其他表达式将使用标准运算符优先级进行计算。

函数

函数执行公式中的计算。

表 2. 函数
函数
函数	选项	描述	示例
COUNT		计算问题或应用程序网格布局中出现的值。基于过滤器进行计数（问题过滤器）如果扫描未运行，则计数为空，而且将显示为空列。如果扫描已运行，则计数为 0 或更高的数值。	COUNT (status=open)
IF		确定表达式为 true 还是为 false。如果为 true，则返回特定值。如果为 false，则返回其他值。 IF(logical_test, [value_if_true], [value_if_false])	IF(businessimpact > 1, 5, 0)
MAX	分类严重性状态	返回一列数中最大的数。 MAX (issue attribute, issue filter)	MAX (severity, status=open)

过滤器

过滤器是显示为应用程序列标题的问题属性特性。

表 3. 过滤器
过滤器
过滤器	选项
分类	明确、可疑。AppScan Source 发现的“分类结果”（静态分析）。
严重性	关键、高、中、低、参考
状态 (status)	已修复、进行中、已重新开启、无关、未解决的、新的
发现方法	dast（动态分析）、sast（静态分析）

值

公式使用多个内置属性作为预定义值。当您创建并保存定制的“下拉”或“公式”属性时，此属性还将显示为您可以使用的值。

表 4. 内置值
内置值
值	描述
businessimpact	下拉值： 0=未指定 2=低影响 3=中影响 4=高影响 5=关键影响
newissues	公式： `COUNT(status=new,classification=definitive,classification=suspect)`
criticalissues	公式： `COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=critical)`
highissues	公式： `COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=high)`
lowissues	公式： `COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=low)`
mediumissues	公式： `COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=medium)`
totalissues	公式： `COUNT(status=new,status=open,status=reopened,status=inprogress,status=fixed,classification=definitive,classification=suspect,severity=critical,severity=high,severity=medium,severity=low)`
openissues	`COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=critical,severity=high,severity=medium,severity=low)`
进行中的工作	公式： `COUNT(status=inprogress,classification=definitive,classification=suspect,severity=critical,severity=high,severity=medium,severity=low)`
riskrating	公式： `IF(businessimpact = 0, 0, IF(testingstatus > 0, 0, businessimpact * rr_maxseverity))`
testingstatus	下拉值：未开始 = 20 进行中 = 10 已完成 = 0