過濾應用程式中的安全問題清單

當應用程式有許多掃描探索到許多漏洞時,請對預設問題屬性使用過濾器,例如「問題嚴重性」、「問題類型」或「問題狀態」,來協助您將清單減少至較可管理的大小。

執行這項作業的原因和時機

您無法依據下列問題屬性,來進行過濾:
  • ID
  • 位置
  • 前次更新
  • 建立日期
  • 修正日期
  • 說明
  • IssueXML
  • 註解

程序

  1. 開啟您計劃要分類的第一個應用程式。依預設,問題清單是依據嚴重性來分組。您也可以改為依據問題類型狀態掃描器來分組問題。清單的分類過濾器會自動顯示在資訊看板中。
  2. 使用新增過濾器欄位進一步精簡過濾清單。例如,如果要尋找容易發生安全問題的 URL,請依網域過濾,再依路徑過濾。清單會縮短,只顯示在該頁面上發現的所有漏洞。如果清單仍然很龐大,請依問題類型問題嚴重性來過濾。
    註: 如果您依狀態來過濾,而該狀態自訂成從視圖中隱藏(noisepassedfixed),則過濾的狀態仍會顯示在問題清單中。
  3. 若要尋找特定問題,請在新增過濾器欄位中輸入它的問題 ID 號碼。這對於找到您可能在電子郵件、PDF、問題報告追蹤系統或舊報告中記錄的問題很有幫助。
  4. 如果要專注於動態分析 (DAST) 或靜態分析 (SAST) 問題,請依探索方法來過濾。然後,您可以依問題類型過濾,再依路徑過濾。
    1. 按一下每個問題的問題 ID,以開啟唯一的「關於此問題」報告。此報告提供問題的詳細資料,並提出「如何修正」供 QA 和 Web 開發人員在補救過程中使用。
    2. 掃描名稱過濾,以找出產生漏洞的應用程式區域。這個方法有助於確定您是否有應用程式的完整涵蓋面。如果應用程式有許多問題,或應用程式有許多掃描時,這會很有用。然後,依問題類型過濾。
  5. 如果要使 SAST 問題直欄標頭可見,請從選取直欄網格佈置功能表選取它們。依預設會隱藏這些直欄標頭,因為 SAST 問題必須從 AppScan® Source 匯入。
    1. 如果要查看「About this Issue 」報告的追蹤標籤,請依原始檔過濾,再依問題 ID 過濾。
    2. 原始檔過濾,再依 API 過濾。此過濾組合會顯示 API 和傳給它的引數。
    3. 分類過濾,再依掃描涵蓋面發現項目過濾,以判斷可能改善 AppScan® Source 中的掃描配置,以獲得更佳掃描涵蓋面的區域,例如,遺失的接收槽發現項目。
      註: 9.0.3.1 iFix2 新增功能:依預設,會從視圖來過濾掃描涵蓋範圍發現項目。如果要移除預設值,請移至清單功能表 > 自訂視圖,並清除掃描涵蓋範圍發現項目勾選框。這會影響組合標籤中顯示的公式, 因為這些公式不會將掃描涵蓋範圍發現項目計算在內。

結果

儲存每一個特定應用程式的過濾器。

下一步

分類應用程式中的問題