通过修改问题的 CVSS 分数更改其严重性

更改问题严重性是逐个问题来执行的,以便您可分析每个漏洞与业务风险的关联性。在问题分类期间,可以通过使用严重性值手动覆盖预先计算的 CVSS 分数来更改问题的严重性,从而能够将该问题的严重性设置为优先于其他问题。修改严重性有助于向开发和管理人员传达某个问题比较严重的信息,以便先修订更严重的漏洞。

关于此任务

以下示例说明如何覆盖问题的严重性。

观看 YouTube 视频Working with CVSS in AppScan Enterprise:the Security Champion's perspective

过程

  1. 在应用程序中,单击问题的问题标识

    应用程序的问题列表。
  2. 单击关于该问题对话框中的编辑属性
  3. 如果基本度量(访问向量、访问复杂性、认证、机密性影响、完整性影响、可用性影响)显示为未知(空白),请为其中每一项选择值。
    在此截屏中,CVSS 基本度量未知,没有任何 CVSS 分数,并且问题严重性为High
    问题的“关于该问题”对话框。
  4. 严重性值更改为Use CVSS
    注: 如果仅更改“严重性值”,但不更改“基本度量”,那么该问题在问题列表中分类为Undetermined,这意味着严重性公式无法准确计算严重性,因为它在其计算中使用的信息缺失。
    在此截屏中,我们启用了“严重性值”列的显示,以便可以看到严重性被手动覆盖。应用程序的已更新问题列表。

结果

以下是我们在此下一个截屏中已分类突出显示的问题的方式:
  • 问题 5:我们修改了 CVSS 基本度量,但是未将严重性值从其原始High分类更改为其他值。计算的 CVSS 分数现在为 5.3,并且High严重性分类保持不变。
  • 问题 7:我们修改了 CVSS 基本度量,并将严重性值更改为Use CVSS。计算的 CVSS 分数为 6.4,并且现在严重性分类为Medium
  • 问题 3:我们未修改 CVSS 基本度量,但是已将严重性值更改为Use CVSS。由于基本度量未知,因此没有足够信息来计算 CVSS 分数,所以严重性分类为Undetermined

问题严重性分类的样本