遵循以下工作流程来管理组织中的应用程序严重性风险。
了解如何确定风险,以及对在应用程序中识别的漏洞划分优先级。
了解如何在应用程序中识别的漏洞划分优先级。
了解如何创建应用程序清单。
了解如何在应用程序中测试识别的漏洞。
现在管理和安全分析人员具有整个企业中应用程序的综合视图,因此可以得到应用程序安全分析的完整情况。使用公式可创建用于自动化的应用程序资产分类的规则。应用程序安全风险分级的自动化计算基于应用程序的描述和所发现的漏洞。
当应用程序具有很多可发现大量漏洞的扫描时,对预设的问题属性(例如“问题严重性”、“问题类型”或“问题状态”)使用过滤器可帮助您将列表缩小至更易管理的大小。
缺省情况下,所有问题都分类为“新的”。可通过查看问题状态来查看问题分类。如果没有显示应用程序的问题,请将安全性扫描与应用程序关联。否则,必须从“扫描”视图中的报告管理问题。如果将扫描作业从一个应用程序移至另一个应用程序,那么不会丢失任何问题管理更改。
安全分析人员可看到具有过期问题的应用程序的数量,以便他们能够快速地计算哪些问题或应用程序不合规。AppScan Enterprise v9.0.3 包含可修改或用作创建复杂公式示例的“过期”公式。如果组织必须符合支付卡行业标准,可将这一点添加到公式。或者修改公式,以便当问题在 10 天后仍标记为“New”时,它将具有高严重性,而且将自动过期。
了解如何修复在应用程序中识别的漏洞。
了解如何度量进度和获得合规性证明。