アプリケーション脆弱性対応の脆弱性の手動取り込み
セキュリティプロフェッショナルとアプリケーションテスターは、ペネトレーションテストワークスペース内でアプリケーションのペネトレーションテスト結果を作成および管理できます。
ペネトレーションテストのワークスペースでは、コアビジネスアプリケーションで特定された脆弱性を文書化するためのペネトレーションテストフォームを使用できます。
セキュリティプロフェッショナルとアプリケーションテスターは、提供された Excel または CSV 形式のテンプレートを使用して、外部ソースとプラットフォームから結果を手動でインポートできます。すべての脆弱性検出結果は、ペネトレーションテストワークスペースで利用可能になります。
ペネトレーションテストワークスペースにアップロードするためのテンプレートにアクセスしてダウンロードするには、次に移動します .
それぞれのアプリケーションのファイルがアップロードされるたびに、新しいペネトレーションテストフォームが作成されます。そのアップロード内のすべての脆弱性検出結果は、同じペネトレーションテストフォームに関連付けられています。アプリケーション名は、次のテーブルのレコードと一致する必要があります:
- アプリケーションテーブル
- ビジネスアプリケーションテーブル
- スキャン済みアプリケーションテーブル
アプリケーション名は、ペネトレーションテストフォームに関連付けられた、アプリケーション内に存在する脆弱性を特定するためのテンプレートに存在する必須フィールドです。アプリケーション名が欠落しているレコードは処理されず、脆弱性の作成時にスキップされます。
注:
テンプレートの必須フィールドは、ペネトレーションテスト結果を処理するために必要です。ペネトレーションテスト結果の処理中に問題が発生するのを防ぐために、テンプレート内のすべてのフィールドが損なわれていないことを確認する必要があります。
| 列名 | 必須 | 説明 | 利用可能なオプション/文字列の最大文字数 |
|---|---|---|---|
| リスク評価 | 必須 | アプリケーション脆弱性一致アイテムの重大度 |
クリティカル 高 中 低 なし (デフォルト) |
| 要求元 | 必須 | 要求元 | 151 |
| CWE カテゴリ | 必須 (1 つの列のみ入力) | CWE ID | 255 |
| 脆弱性 ID | 必須 (1 つの列のみ入力) | 脆弱性 ID | 255 |
| アプリケーション | 必須 | アプリケーション名 | 255 |
| アプリケーションの目的 | 必須 | アプリケーションの目的 | 4000 |
| 機密データのタイプ | 必須 | アプリケーションからアクセスできる機密データの種類を一覧表示 | 40 |
| コンプライアンスプログラムのリスト | 必須 | コンプライアンスプログラムのリスト | 4000 |
| テクノロジースタック詳細 | 必須 | テクノロジースタック詳細 | 4000 |
| アプリケーションチーム | 必須 | アプリケーションチーム名。ソフトウェアアプリケーションの開発と維持を担当するグループ | 100 |
| テストする URL | 必須 | テストする URL | 4000 |
| 再現手順 | 必須 | 再現手順 | 1000 |
| 技術的な詳細 | 必須 | 技術的な詳細 | 1000 |
| アサイン先 | 必須 | アサイン先 (ペネトレーションテストの実施とセキュリティ検出結果の生成を担当する個人) | 151 |
| アサイン先グループ | 必須 | アサイン先グループ (ペネトレーションテストの実施とセキュリティ結果の生成を担当するグループ) | 151 |