Bewertungsanforderung für Penetrationstest aus vorhandenen Anforderungen erstellen (v19.0)

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 4 Minuten Lesedauer

    • Ab v19.0 erstellen Sie Bewertungsanforderungen für Penetrationstests direkt aus der Liste der vorhandenen Anforderungen. Sie können auch vorhandene Anforderungen im Status „Geschlossen“ in diese Liste kopieren, um Anforderungen zu erstellen.

    Vorbereitungen

    Erforderliche Rolle: App-Sec-Manager

    Warum und wann dieser Vorgang ausgeführt wird

    Ab v19.0 von Vulnerability Responsesind, wenn Sie Veracode Vulnerability Integrationverwenden, die Penetrationsbewertungstests in Veracode Vulnerability Integration manuelle Ergebnisse von Veracode. Sie sind nicht mit Bewertungsanforderungen für Penetrationstests verknüpft, die Sie in Application Vulnerability Responsekonfigurieren. Weitere Informationen zu Penetrationstestbewertungen von Veracodefinden Sie unter Veracode Vulnerability Integration.

    Prozedur

    1. Navigieren zu Alle > Anforderungen für Penetrationstestbewertung > Allean.
    2. Wahlweise: Alternativ können Sie eine Anforderung erstellen, indem Sie geschlossene Anforderungen replizieren.
      Alle Werte aus der ursprünglichen Anforderung werden im neuen Formular beibehalten. Aktive angreifbare Elemente in der Anwendung (Application Vulnerable Items, AVIs) werden automatisch in die neue Anforderung kopiert. Wählen Sie Kopieren und Anforderung erstellen aus Datensätzen im Status „Geschlossen“ aus.
    3. Wählen Sie Neu und füllen Sie die Felder aus.
      Tabelle : 1. Formular „Bewertungsanforderung für Penetrationstests“.
      Feld Beschreibung
      Nummer Eindeutiger Bezeichner, der für die Penetrationstest-Bewertungsanforderung generiert wurde.
      Status Wählen Sie einen Wert basierend auf dem Status der Anforderung aus.
      Angefordert von Person, die die Bewertung der Anwendung anfordert.
      Zuweisungsgruppe Gruppe, die für die Bearbeitung der Penetrationstestergebnisse ausgewählt wurde. Können manuell von einem App-Sec-Manager hinzugefügt oder bearbeitet werden.

      Informationen zum Konfigurieren von Gruppen finden Sie unter Konfigurieren Sie Penetrationstests.
      Anwendung Wählen Sie mithilfe der Suchoption eine Anwendung aus.
      Zugewiesen an Einzelperson aus der ausgewählten Zuweisungsgruppe, die an den Ergebnissen des Penetrationstests arbeitet. Können manuell von einem App-Sec-Manager hinzugefügt oder bearbeitet werden.
      Anwendungstyp Wählen Sie eine Option aus:
      • Webservice (vor v16.1 als API bezeichnet)
      • Web-Anwendung
      • Thick Client
      • Mobil (Wenn Sie Mobilauswählen, wird die Registerkarte Mobil am unteren Rand des Formulars mit zusätzlichen Feldern angezeigt.)
      Sprint Zeigt die Sprints mit verfügbarer Bandbreite für die Bewertungsanforderung basierend auf dem ausgewählten Bewertungstypfeld an.

      Weitere Informationen zum Ändern der Sprint-Kapazität und des Testumfangs finden Sie unter Sprints für Penetrationstests konfigurieren und Konfigurieren Sie Bewertungstypen für Penetrationstests.
      v19.0: Anwendungsgröße Wählen Sie die Größe der Anwendung aus, die Sie testen möchten.
      • Klein
      • Mittel
      • Groß
      • Standard (wählen Sie diese Option, wenn Sie sich bezüglich der Größe nicht sicher sind)

      Weitere Informationen finden Sie unter Konfigurieren Sie Penetrationstests zum Ändern der Sprint-Kapazität und zum Testen des Umfangs mit Anwendungsgröße und Sprint-Kapazität.
      Erstellt Datum und Uhrzeit der Erstellung der Anforderung.
      Bewertungstyp Wählen Sie den Typ der Bewertung aus:
      • Vollständiger Penetrationstest
      • Fokussierter Test
      • Erneut testen
      Weitere Informationen zu Testkombinationen und Testumfang finden Sie unter Konfigurieren Sie Bewertungstypen für Penetrationstests.
      Aktualisiert Datum und Uhrzeit der letzten Aktualisierung der Anforderung.
      Demo-Datum Datum, an dem diese Anwendung vorgeführt werden kann.
      Produktbereitstellung geplant am Geplantes Datum für die Bereitstellung dieser Anwendung in der Produktion.
      Anwendungsversion/-release für die Bereitstellung geplant Version der Anwendung, die für die Produktionsbereitstellung geplant ist.
      v19.0: Anwendung im Besitz eines Drittanbieters oder einer Joint-Venture-Registerkarte

      Wenn Sie für dieses Feld „Ja“ auswählen, wird die Registerkarte Lieferanten-/Joint-Venture-Informationen angezeigt. Füllen Sie die zusätzlichen Felder aus.
      Gibt es eine Klausel, die es uns ermöglicht, Pen-Tests durchzuführen? Der Begriff „Klausel“ kann sich auf Standards für Tests beziehen, die Vereinbarungen enthalten, die zwischen zwei oder mehr Parteien bestehen, die Sie hinzufügen möchten. Wenn Sie Jaauswählen, fügen Sie die Klausel hinzu.
      Die Klausel, die die Erlaubnis zur Durchführung von Pen-Tests enthält
      Vollständiger offizieller Name und Adresse des Lieferanten
      Angriffserkennungssystem
      Technischer Kontakt des Lieferanten
      Wurden die protokollierten Informationen auf schädliche Aktivitäten überprüft?
      Wird die Anwendung von einem anderen Drittanbieter gehostet?
      Kontakt des Lieferanten, der den Pen-Test abzeichnet
      Registerkarte „Anwendungsdetails“.
      Zweck der Anwendung Beschreibung der Funktionalität der Anwendung.
      Details des Technologiestapels Vollständiger Technologiestapel vom Front-End bis zum Back-End, Datenbanken und andere Schlüsseltechnologien.
      Ist Drittparteianwendung? Bestätigt, ob diese Anwendung im Besitz eines Drittanbieters ist.
      Listet die Arten sensibler Daten auf, auf die über die Anwendung zugegriffen werden kann. Arten vertraulicher Daten, auf die über die Anwendung zugegriffen werden kann. Zum Beispiel PII-Daten, PHI-Daten und Finanzdaten wie Kreditkartennummern.
      Authentifizierungstyp Gibt an, ob diese Anwendung die LDAP-Authentifizierung, ihre eigene native Authentifizierung oder andere Formen der Authentifizierung verwendet.
      Fällt die Anwendung unter ein Compliance-Programm? Gibt an, ob sich diese Anwendung auf Compliance-Programme wie PCI auswirkt.
      Kontakte im Anwendungsteam Mitglieder des Anwendungsteams, die vom Team für ethisches Hacken bei Fragen kontaktiert werden sollen.
      Liste der Compliance-Programme
      Zugehörige Schnittstellen oder Anwendungen von Drittparteien
      IP-Adresse
      Ungefähre Anzahl der Anwender in der Produktion?
      Automatisiertes Skript vorhanden?
      Ist die Produktionsversion dieser App extern ausgerichtet?
      v 19.0: Geschäftsauswirkung
      Finanzieller Schaden Wählen Sie eine aus der Liste aus.
      Nichteinhaltung Wählen Sie eine aus der Liste aus.
      Reputationsschaden Wählen Sie eine aus der Liste aus.
      Datenschutzverletzung Wählen Sie eine aus der Liste aus.
      Registerkarte „Testdetails“.
      Zu testende URLs URLs, die in Penetrationstests einbezogen werden müssen.
      Auszuschließende URLs URLs, die von Penetrationstests ausgeschlossen werden müssen.
      Wurde diese Anwendung zuvor getestet? Gibt an, ob diese Anwendung bereits einem Penetrationstest unterzogen wurde.
      Grund für erneuten Test Grund für die Anforderung eines erneuten Penetrationstests, wenn die Anwendung zuvor getestet wurde.
      Wann wurde die Anwendung getestet? Zeitrahmen, in dem die Anwendung auf Penetration getestet wurde.
      Details des Test-Accounts Details des Test-Accounts, die vom Team für ethisches Hacken für Penetrationstests verwendet werden können.
      Anwendungsrollen Rollen, die von der Anwendung für ihre Benutzer unterstützt werden.
      Meistverwendete Rollen Die am häufigsten verwendeten Rollen in der Anwendung.
      Registerkarte „Zusätzliche Kommentare“.
      Arbeitsnotizen
    4. Wählen Sie Speichern, um Ihre Änderungen zu speichern, oder Absenden, um die Anforderung zu initiieren.