如何确定问题严重性

AppScan® Enterprise 通过使用严重性公式或通过使用“严重性值”问题属性来确定问题严重性。

无法修改严重性公式。但是,可以更改严重性值属性的预先确定的值,并且由于该值在严重性公式中使用,因此可以通过这种方式更改问题的严重性。

您还可以修改与严重性公式关联的范围值。这些范围定义数字严重性范围的文本显示。用作范围名称的文本(如 InformationCritical)在应用为“应用程序”视图中的严重性分组时,通常比表示严重性公式结果的数字值更易于理解。
提示: 如果更改问题概要文件模板中严重性公式的数字范围,请修改同一模板中严重性值属性的数字值,以便这些值同步。

严重性值属性的其中一个预先确定的值为 Use CVSS。使用该值时,严重性公式使用 CVSS 分数来确定问题严重性。如果为严重性值属性使用任何其他值(如“问题类型”),那么该值用作问题严重性,而不是使用 CVSS 分数计算。

严重问题严重性

有时您需要向开发和管理人员传达某个问题比较严重的信息,以便此特定问题立即获得关注并可能首先进行修订。要将此问题与其他问题区分开,请将其严重性值设置为 Critical。“严重”是一种特殊的严重性值;其数字值超出严重性的缺省范围,并且只能在分类期间逐个问题进行设置。

如何为内容扫描作业找到的问题设置 CVSS 和严重性

内容扫描作业找到的问题的 CVSS 分数会自动进行计算,因为所有必需信息都根据问题表示的漏洞类型来确定。

通过 AppScan® Enterprise 中的报告更改问题的严重性时,问题的严重性值属性将设置为相同值。当问题从 AppScan® Enterprise 的先前版本进行升级时,此过程也适用。

如何为导入到 AppScan® Enterprise 中的问题设置 CVSS 和严重性

1. 如何为导入到 AppScan® Enterprise 中的问题设置 CVSS 和严重性

导入的问题

问题来源 如何确定问题严重性
AppScan® Source 的所有版本导入 将计入 CVSS 分数计算的信息在导入文件中不可用。AppScan Enterprise 根据为漏洞的问题类型指定的严重性来设置问题严重性。CVSS 信息根据漏洞类型进行计算。
AppScan® Standard V9.0 和更低版本导入 将计入 CVSS 分数计算的信息在源于较旧产品版本的问题的导入文件中不可用。AppScan® Enterprise 根据为漏洞的问题类型指定的严重性来设置问题严重性。
AppScan® Standard V9.0.1 和更高版本导入 将计入 CVSS 分数计算的信息会在导入期间引入 AppScan® Enterprise 中,并且严重性值派生自得出的 CVSS 分数。
从 CSV 文件导入问题 “扫描程序”概要文件允许在 CSV 文件中的属性列与 AppScan Enterprise 使用的问题属性之间进行映射。CVSS 分数计算和得出的严重性取决于 CSV 文件中可用的信息及其如何映射到表示 CVSS 度量的属性。

如果所需 CVSS 属性可用,那么 AppScan Enterprise 可使用 CVSS 公式来计算严重性。如果 CVSS 分数计算不可用,那么 AppScan Enterprise 将基于“严重性”值来设置问题严重性。如果该严重性值不可用,那么它将使用在漏洞的“问题类型”上设置缺省严重性。

从 AppScan Standard v9.0.3 报告 XML 文件导入问题 可将另存为 XML 文件的 AppScan Standard 报告数据导入到 AppScan Enterprise v9.0.3 中的“监视器”视图。将计入 CVSS 分数计算的信息在导入文件中不可用。AppScan Enterprise 根据在导入文件中指定的严重性来设置问题严重性值。CVSS 信息根据漏洞类型进行计算。
从 XML 扫描程序导入问题 AppScan Enterprise 根据 XML 中的“严重性”值来设置问题严重性。

如何保留从 AppScan® Source 和 AppScan® Standard 导入的手动设置的 CVSS 和严重性

如果您在 AppScan® Source 或 AppScan Enterprise 中管理了问题,并且要在将这些问题导入到 AppScan® Enterprise 中时保留这些设置,那么可以请求管理员选中管理 > 常规设置 > Enterprise Console 设置页面上的使用来自导入文件的设置复选框。启用此设置时,下表中描述的处理规则适用。

2. 如何保留从 AppScan® Source 和 AppScan® Standard 导入的手动设置的 CVSS 和严重性

问题来源 如何确定问题严重性
AppScan® Source 的所有版本导入 将计入 CVSS 分数计算的信息在问题的导入文件中不可用。问题严重性和严重性值属性设置为导入文件中指定的严重性。
AppScan® Standard V9.0 和更低版本导入 将计入 CVSS 分数计算的信息在问题的导入文件中不可用。问题严重性和严重性值属性设置为导入文件中指定的严重性。
AppScan® Standard V9.0.1 和更高版本导入 将计入 CVSS 分数计算的信息和手动设置的严重性在导入文件中可用,并且两者均在 AppScan® Enterprise 中进行设置,如该文件中所指定。