內建公式

請以內建公式為起點，開始建立或自訂您自己的公式。

註：使用者角色：產品管理者

風險評級

風險評級是根據偵測到的最高問題嚴重性及業務影響的組合得出。數字越大，表示風險越高。請將安全測試工作優先集中在這些應用程式上。

IF(businessimpact = 0, 0, IF(testingstatus > 0, 0, businessimpact * rr_maxseverity))

預設風險評級的計算會得出一個值 (0 - 25)。這些值會對映至摘要圖表中的說明文字。


值	說明
0	不明
1-8	低
9-14	中
15-19	高
20-25	重大

註：

如果應用程式未完整測試，或是業務衝擊是「未指定的」，則風險評級為 0（不明）。
如果測試狀態標示為「已完成」，且沒有中或高的問題，則計算時不考慮業務衝擊。在此情況下，「已完成」並不表示已發現所有漏洞，只是您關注的漏洞已解決，而其餘問題沒有對應用程式帶來任何風險。
如果您修改風險評級公式，從您變更該公式的那個月開始，「安全風險評級」趨勢圖就會變更。

表 1. 應用程式屬性公式
名稱	公式
RR_MaxSeverity	`IF(criticalissues > 0 , 5, IF(highissues > 0, 4, IF(mediumissues > 0, 3, IF(lowissues > 0, 2, 1))))`
最高嚴重性	`IF(MAX(severity, status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect) > 0, MAX(severity, status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect), -1)`
新的問題	`COUNT(status=new,classification=definitive,classification=suspect)`
重要問題	`COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=critical)`
高嚴重性問題	`COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=high)`
中嚴重性問題	`COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=medium)`
低嚴重性問題	`COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=low)`
待解決問題	`COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=critical,severity=high,severity=medium,severity=low)`
已修正問題	`COUNT(status=fixed,classification=definitive,classification=suspect,severity=critical,severity=high,severity=medium,severity=low)`
問題總計	`COUNT(status=new,status=open,status=reopened,status=inprogress,status=fixed,classification=definitive,classification=suspect,severity=critical,severity=high,severity=medium,severity=low)`
工作進行中	`COUNT(status=inprogress,classification=definitive,classification=suspect,severity=critical,severity=high,severity=medium,severity=low)`

表 2. 問題屬性公式
名稱	公式
嚴重性	`IF(ISNULL(severityvalue, -1) = -1, cvss, severityvalue)`
逾期	`IF(classification=scancoveragefindings,0,IF(status=noise,0,IF(status=passed,0,IF(status=fixed,0,AGE()-IF(severity>10, 3, IF(severity>7.4, 5, IF(severity>5, 7, IF(severity>1.9, 14, 100))))))))` 註： 9.0.3.1 版 iFix2：在舊版中，「逾期公式」不會將掃描涵蓋面發現項目計算在內，而這會造成「應用程式」標籤與「資產組合」標籤中顯示的數目不相符。從 9.0.3.1 版 iFix2 起，您必須編輯「逾期公式」，使其包含掃描涵蓋面發現項目。您必須在公式開頭新增 `IF(classification=scancoveragefindings,0,`，並在最尾端新增一個右方括弧。 AGE 不能編輯。這是自建立問題起的天數。如果您編輯嚴重性公式的範圍，也必須編輯逾期公式，否則將不會同步。

以下說明「逾期」公式的分解方式：如果問題狀態是「無關」、「通過」或「已修正」，則問題不會逾期。否則，公式是「問題經歷時間 - 嚴重性對映」。

表 3. 將嚴重性對映至逾期天數
嚴重性範圍	值	逾期天數
大於 10	重大	3
大於 7.4	高	5
大於 5	中	7
大於 1.9	低	14
小於 1.9	資訊	100