請追蹤這個工作流程來管理您組織內的應用程式安全風險。
進一步瞭解如何對應用程式中識別的漏洞判斷風險及設定優先順序。
現在管理和安全分析師對整個企業的應用程式有了全面的認知,因此也能瞭解應用程式安全風險的完整情況。使用公式來建立應用程式資產自動分類的規則。根據應用程式的說明及發現的漏洞,會自動計算應用程式安全風險評級。
安全分析師可以使用 CVSS 評分,來判斷問題嚴重性,並為組織設定漏洞修正程式的優先順序。
進一步瞭解如何建立應用程式庫存。
進一步瞭解如何對應用程式中識別的漏洞進行測試。
產品管理者可以在屬性公式中使用下列任何元件。
屬性公式中使用這些函數。
請以內建公式為起點,開始建立或自訂您自己的公式。
風險評級公式是您說明應用程式最重要的屬性。請使用這個範例來自訂內建風險評級。在這個範例中,業務衝擊會根據不同的應用程式屬性自動計算。
建立和編輯含有公式的屬性,以計算應用程式的風險評級,或在應用程式摘要中顯示問題資訊。刪除已不適合的公式屬性。
您可以修改 AppScan Enterprise 的內建公式,根據商業需要進行自訂。例如,Open Issues公式在計算中包括new、open及reopened的問題。這可能不符合您的需求,因此您可以將它修改為只包括open和reopened的問題。
CVSS 評分會反映漏洞造成的整體安全衝擊,並且是一個複合評分,可反映下列三個不同種類的度量:基本、時間和環境。
AppScan® Enterprise 會利用「嚴重性」公式,或使用「嚴重性值」問題屬性,來判斷問題的嚴重性。
您可以依問題基準,來變更問題的嚴重性,如此一來,您就可以分析每個關係到業務風險的漏洞。在問題分類期間,您可以手動將預先計算的 CVSS 評分,置換成嚴重性值,以便針對該問題的嚴重性,設定其相對於其他問題的優先順序。修改嚴重性,可協助您將問題的嚴重度傳達給開發和管理階層,以便優先修正更重要的漏洞。
進一步瞭解如何對應用程式中識別的漏洞設定優先順序。
進一步瞭解如何對應用程式中識別的風險進行補救。
進一步瞭解如何測量進度及展示相符性。
:在 AppScan Enterprise 中使用 CVSS:安全專家的觀點