內建公式
請以內建公式為起點,開始建立或自訂您自己的公式。
註: 使用者角色:產品管理者
風險評級
風險評級是根據偵測到的最高問題嚴重性及業務影響的組合得出。數字越大,表示風險越高。請將安全測試工作優先集中在這些應用程式上。
IF(businessimpact = 0, 0, IF(testingstatus > 0, 0, businessimpact * rr_maxseverity))
預設風險評級的計算會得出一個值 (0 - 25)。這些值會對映至摘要圖表中的說明文字。
值 | 說明 |
---|---|
0 | 不明 |
1-8 | 低 |
9-14 | 中 |
15-19 | 高 |
20-25 | 重大 |
註:
- 如果應用程式未完整測試,或是業務衝擊是「未指定的」,則風險評級為 0(不明)。
- 如果測試狀態標示為「已完成」,且沒有中或高的問題,則計算時不考慮業務衝擊。在此情況下,「已完成」並不表示已發現所有漏洞,只是您關注的漏洞已解決,而其餘問題沒有對應用程式帶來任何風險。
- 如果您修改風險評級公式,從您變更該公式的那個月開始,「安全風險評級」趨勢圖就會變更。
名稱 | 公式 |
---|---|
RR_MaxSeverity | IF(criticalissues > 0 , 5, IF(highissues > 0, 4, IF(mediumissues > 0, 3, IF(lowissues > 0, 2, 1)))) |
最高嚴重性 | IF(MAX(severity, status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect) > 0, MAX(severity, status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect), -1) |
新的問題 | COUNT(status=new,classification=definitive,classification=suspect) |
重要問題 | COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=critical) |
高嚴重性問題 | COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=high) |
中嚴重性問題 | COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=medium) |
低嚴重性問題 | COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=low) |
待解決問題 | COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=critical,severity=high,severity=medium,severity=low) |
已修正問題 | COUNT(status=fixed,classification=definitive,classification=suspect,severity=critical,severity=high,severity=medium,severity=low) |
問題總計 | COUNT(status=new,status=open,status=reopened,status=inprogress,status=fixed,classification=definitive,classification=suspect,severity=critical,severity=high,severity=medium,severity=low) |
工作進行中 | COUNT(status=inprogress,classification=definitive,classification=suspect,severity=critical,severity=high,severity=medium,severity=low) |
名稱 | 公式 |
---|---|
嚴重性 | IF(ISNULL(severityvalue, -1) = -1, cvss, severityvalue) |
逾期 | IF(classification=scancoveragefindings,0,IF(status=noise,0,IF(status=passed,0,IF(status=fixed,0,AGE()-IF(severity>10, 3, IF(severity>7.4, 5, IF(severity>5, 7, IF(severity>1.9, 14, 100)))))))) 註:
|
以下說明「逾期」公式的分解方式:如果問題狀態是「無關」、「通過」或「已修正」,則問題不會逾期。否則,公式是「問題經歷時間 - 嚴重性對映」。
嚴重性範圍 | 值 | 逾期天數 |
---|---|---|
大於 10 | 重大 | 3 |
大於 7.4 | 高 | 5 |
大於 5 | 中 | 7 |
大於 1.9 | 低 | 14 |
小於 1.9 | 資訊 | 100 |