如何判斷問題嚴重性

AppScan® Enterprise 會利用「嚴重性」公式，或使用「嚴重性值」問題屬性，來判斷問題的嚴重性。

「嚴重性」公式無法修改。不過，您可以變更嚴重性值屬性的預定值，因為它用於「嚴重性」公式中，因此您可以藉此變更問題的嚴重性。

您也可以修改「嚴重性」公式相關聯的範圍值。這些範圍定義如何以文字來顯示數值型嚴重性範圍。用來作為範圍名稱用的文字（例如 Information 或 Critical），當套用來作為「應用程式」視圖中的「嚴重性」分組時，通常會比代表「嚴重性」公式結果的數值更容易瞭解。

提示：如果您在「問題設定檔範本」中，變更「嚴重性」公式的數值範圍，請在相同範本中，修正嚴重性值屬性的數值，以便讓這些值同步。

嚴重性值屬性的其中一個預定值是 Use CVSS。當使用此值時，「嚴重性」公式會使用 CVSS 評分來判斷問題嚴重性。如果您對嚴重性值屬性使用任何其他值（如：「問題類型」），即會使用該值作為問題嚴重性，而不使用 CVSS 評分計算。

「重要」問題嚴重性

有時您需要將問題的嚴重度傳達給開發和管理階層，以便讓這個特定問題獲得立即關注，甚至可能優先修正。如果要將這個問題與其他問題加以區分，請將其嚴重性值設為 Critical。「重要」是一個特殊的嚴重性值；其數值超出預設的嚴重性範圍，且在分類期間，只能依問題基準針對問題設定它。

如何為內容掃描工作找到的問題，設定 CVSS 和「嚴重性」

對於內容掃描工作找到的問題，會自動計算其 CVSS 評分，這是因為會根據問題所代表的漏洞類型，來判斷所有的必要資訊。

當您透過 AppScan® Enterprise 中的報告來變更問題的嚴重性時，會將問題的嚴重性值屬性設為相同值。當從舊版 AppScan® Enterprise 將問題升級時，也會套用這項程序。

如何為匯入至 AppScan® Enterprise 的問題，設定 CVSS 和「嚴重性」

表 1. 如何為匯入至 AppScan® Enterprise 的問題，設定 CVSS 和「嚴重性」
匯入的問題
問題來源	如何判斷問題嚴重性
從所有 AppScan® Source 版本匯入	匯入檔不會提供有助於 CVSS 評分計算的資訊。AppScan Enterprise 會根據指定給漏洞之「問題類型」的「嚴重性」，來設定問題嚴重性。CVSS 資訊會根據「漏洞類型」加以計算。
從 AppScan® Standard 9.0 版及更舊版本匯入	對於源自於產品舊版的問題，其匯入檔不會提供有助於 CVSS 評分計算的資訊。AppScan® Enterprise 會根據指定給漏洞之「問題類型」的「嚴重性」來設定問題嚴重性。
從 AppScan® Standard 9.0.1 版及更新版本匯入	在匯入期間，有助於 CVSS 評分計算的資訊會帶入 AppScan® Enterprise 中，而嚴重性值是從得出的 CVSS 評分衍生。
從 CSV 檔匯入問題	「掃描器」設定檔容許 CSV 檔中的屬性直欄與 AppScan Enterprise 使用的問題屬性之間進行對映。CVSS 評分計算和得出的「嚴重性」，依據 CSV 檔所提供的資訊，及它如何對映至代表 CVSS 度量的屬性而定。如果有所需要的 CVSS 屬性可用，AppScan Enterprise 可使用 CVSS 公式來計算嚴重性。如果 CVSS 評分計算無法使用，AppScan Enterprise 會根據「嚴重性」值來設定問題嚴重性。如果沒有提供該值，它會使用漏洞的「問題類型」上所設定的預設嚴重性。
從 AppScan Standard 9.0.3 版報告 XML 檔匯入問題	在 AppScan Standard 9.0.3 版中儲存成 XML 檔的報告資料，可以匯入 AppScan Enterprise 中的監視器視圖。匯入檔不會提供有助於 CVSS 評分計算的資訊。AppScan Enterprise 會根據匯入檔案中指定的「嚴重性」，來設定問題嚴重性值。CVSS 資訊會根據「漏洞類型」加以計算。
從 XML 掃描器匯入問題	AppScan Enterprise 會根據 XML 檔中的「嚴重性」值，來設定問題嚴重性。

如何保留從 AppScan® Source 和 AppScan® Standard 匯入之手動設定的 CVSS 和「嚴重性」

如果您是在 AppScan® Source 或 AppScan Standard 中管理問題，且將這些問題匯入至 AppScan® Enterprise 時想保留這些設定，您可以要求管理員在管理 > 一般設定 > Enterprise Console 設定頁面中，選取使用所匯入檔案中的設定勾選框。啟用這項設定時，會套用下表說明的處理規則。

表 2. 如何保留從 AppScan® Source 和 AppScan® Standard 匯入之手動設定的 CVSS 和「嚴重性」
問題來源	如何判斷問題嚴重性
從所有 AppScan® Source 版本匯入	問題的匯入檔中不會提供有助於 CVSS 評分計算的資訊。問題嚴重性和嚴重性值屬性會設定為匯入檔中指定的「嚴重性」。
從 AppScan® Standard 9.0 版及更舊版本匯入	問題的匯入檔中不會提供有助於 CVSS 評分計算的資訊。問題嚴重性和嚴重性值屬性會設定為匯入檔中指定的「嚴重性」。
從 AppScan® Standard 9.0.1 版及更新版本匯入	匯入檔中會提供有助於 CVSS 評分計算的資訊以及手動設定的「嚴重性」，且兩者會根據該檔案中的指定，設定在 AppScan® Enterprise 中。