Corrigindo Resposta a vulnerabilidades de aplicações vulnerabilidades
O monitoramento da correção é um processo que começa com a revisão do status e termina com o fechamento dos itens vulneráveis da aplicação (AVITs). Resposta a vulnerabilidades de aplicações oferece ferramentas e procedimentos para tornar esse processo mais produtivo e eficiente.
Resposta a vulnerabilidades de aplicações processo de correção
A correção de item vulnerável da aplicação é feita manualmente.
- Faça login na sua instância Resposta a vulnerabilidades de aplicações.
- Valide se suas regras (Pesquisa de IC, Atribuição) para itens vulneráveis de aplicação estão funcionando conforme o esperado. Para obter informações sobre como revisar as Regras de pesquisa de IC, consulte Identificar aplicações em Resposta a vulnerabilidades de aplicações automaticamente. Para obter informações sobre regras de atribuição, consulte Atribuir itens vulneráveis de aplicação em Resposta a vulnerabilidades de aplicações automaticamente.
- Valide se suas metas de correção estão corretas. Consulte Automatizar o acompanhamento da meta de correção no Resposta a vulnerabilidades de aplicações para obter informações sobre como as regras de destino de correção funcionam e como revisá-las. Exibir o status da meta de correção de um item vulnerável da aplicação.Nota:As regras de destino de correção pertencem a AVITs. Essas regras são executadas quando o AVIT é importado.
- Revise os painéis ou relatórios. Por exemplo, exiba painéis que mostram o envelhecimento de AVITs por estados.Nota:
Quando a aplicação Performance Analytics para Resposta a vulnerabilidades (com.snc.vulnerability.analytics) é ativada, os usuários com determinadas funções podem exibir dados de interesse para os membros dos grupos de gerentes de App-Sec e de defensores da segurança.
Para gerentes de App-Sec, Performance Analytics para Resposta a vulnerabilidades contém a visão geral Resposta a vulnerabilidades de aplicações, que pode ajudá-lo a monitorar áreas de interesse. Consulte Soluções de análise e emissão de relatórios para opainel Application Vulnerability Response e Application Vulnerability Management [PA].
A partir da versão 13.0 da aplicação Resposta a vulnerabilidades : para os Campeões de segurança, Performance Analytics para Resposta a vulnerabilidades contém o painel Minhas vulnerabilidades da aplicação, que pode ajudá-lo a monitorar suas áreas de interesse. Consulte Meu painel de vulnerabilidades da aplicação.
A partir da versão 13.0 da aplicação Resposta a vulnerabilidades : para limitar a quantidade de dados coletados para relatórios ou listas relacionadas, consulte Definir classificações de serviço para Resposta a vulnerabilidades relatórios e listas relacionadas.
- Revise o estado dos AVITs, em ordem de prioridade, procurando o que mudou.
- Revise o risco dos AVITs, conforme necessário. Para obter mais informações, consulte Criar uma calculadora de vulnerabilidade da aplicação.
- Reatribua o AVIT a um grupo de atribuição para correção, se necessário.
- Novas verificações são acionadas automaticamente pela programação de importação de terceiros.
- Após a nova verificação, se o estado for Fixo, os AVITs serão fechados automaticamente durante a importação.
- Após a verificação, se o estado não for Fixo, o AVIT será reaberto.
Obter mais detalhes de Veracode
Selecione Obter mais detalhes sobre itens vulneráveis da aplicação (AVITs) que têm Veracode como a origem na tabela Item vulnerável da aplicação [sn_vul_app_vulnerable_item] ou nas exibições de lista nos Espaços de resposta a vulnerabilidades para exibir os seguintes dados Veracode.
- Os detalhes da solicitação de origem HTTP e da resposta de origem para verificações do Teste de segurança da aplicação dinâmico (Dynamic Application Security Testing, DAST) são exibidos na lista relacionada Solicitação/resposta HTTP.
- As recomendações de solução de Veracode são exibidas na lista relacionada Descobertas.
- A solicitação de origem HTTP, a resposta de origem e as recomendações são exibidas na guia Detalhes nos espaços de resposta a vulnerabilidades Resposta a vulnerabilidades.
- A coluna Descrição é compatível com a tabela Item vulnerável da aplicação [sn_vul_app_vulnerable_item].