過濾應用程式中的安全問題清單
當應用程式有許多掃描探索到許多漏洞時,請對預設問題屬性使用過濾器,例如「問題嚴重性」、「問題類型」或「問題狀態」,來協助您將清單減少至較可管理的大小。
執行這項作業的原因和時機
- ID
- 位置
- 前次更新
- 建立日期
- 修正日期
- 說明
- IssueXML
- 註解
程序
- 開啟您計劃要分類的第一個應用程式。依預設,問題清單是依據嚴重性來分組。您也可以改為依據問題類型、狀態或掃描器來分組問題。清單的分類過濾器會自動顯示在資訊看板中。
-
使用新增過濾器欄位進一步精簡過濾清單。例如,如果要尋找容易發生安全問題的 URL,請依網域過濾,再依路徑過濾。清單會縮短,只顯示在該頁面上發現的所有漏洞。如果清單仍然很龐大,請依問題類型或問題嚴重性來過濾。
註: 如果您依狀態來過濾,而該狀態自訂成從視圖中隱藏(noise、passed或fixed),則過濾的狀態仍會顯示在問題清單中。
- 若要尋找特定問題,請在新增過濾器欄位中輸入它的問題 ID 號碼。這對於找到您可能在電子郵件、PDF、問題報告追蹤系統或舊報告中記錄的問題很有幫助。
- 如果要專注於動態分析 (DAST) 或靜態分析 (SAST) 問題,請依探索方法來過濾。然後,您可以依問題類型過濾,再依路徑過濾。
- 按一下每個問題的問題 ID,以開啟唯一的「關於此問題」報告。此報告提供問題的詳細資料,並提出「如何修正」供 QA 和 Web 開發人員在補救過程中使用。
- 依掃描名稱過濾,以找出產生漏洞的應用程式區域。這個方法有助於確定您是否有應用程式的完整涵蓋面。如果應用程式有許多問題,或應用程式有許多掃描時,這會很有用。然後,依問題類型過濾。
-
如果要使 SAST 問題直欄標頭可見,請從選取直欄網格佈置功能表選取它們。依預設會隱藏這些直欄標頭,因為 SAST 問題必須從 AppScan® Source 匯入。