アプリケーション脆弱性対応の脆弱性の手動取り込み
セキュリティ専門家とアプリケーションテスターは、ペネトレーションテストワークスペース内でアプリケーションのペネトレーションテスト結果を作成および管理できます。
ペネトレーションテストフォームは、ペネトレーションテストワークスペースで使用でき、コアビジネスアプリケーションで特定された脆弱性を文書化します。
セキュリティ専門家とアプリケーションテスターは、Excel または CSV 形式で提供されたテンプレートを使用して、外部ソースやプラットフォームから検出結果を手動でインポートできます。すべての脆弱性検索結果は、ペネトレーションテストワークスペースで利用可能になります。
ペネトレーションテストワークスペースにアップロードするためのテンプレートにアクセスしてダウンロードするには、次の場所に移動します .
各アプリケーションのファイルをアップロードするたびに、新しいペネトレーションテストフォームが作成されます。そのアップロード内のすべての脆弱性検索結果は、同じペネトレーションテストフォームに関連付けられます。アプリケーション名は、次のテーブルのレコードと一致する必要があります。
- アプリケーションテーブル
- ビジネスアプリケーションテーブル
- スキャン済みアプリケーションテーブル
アプリケーション名は、ペネトレーションテストフォームに関連付けられた、アプリケーション内に存在する脆弱性を識別するためのテンプレートに存在する必須フィールドです。アプリケーション名のないレコードは処理されず、脆弱性の作成時にスキップされます。
注:
ペネトレーションテスト結果を処理するには、テンプレートの必須フィールドが必要です。ペネトレーションテスト結果の処理中に問題が発生しないように、テンプレートのすべてのフィールドがそのままであることを確認する必要があります。
| 列名 | 必須 | 説明 | 利用可能なオプション/文字列の最大文字数 |
|---|---|---|---|
| リスク評価 | 必須 | アプリケーション脆弱性一致アイテムの重大度 |
重要 高 中 低 なし (デフォルト) |
| 要求者 | 必須 | 要求者 | 151 |
| CWE カテゴリ | 必須 (1 列のみ入力) | CWE ID | 255 |
| 脆弱性 ID | 必須 (1 列のみ入力) | 脆弱性 ID | 255 |
| アプリケーション | 必須 | アプリケーション名 | 255 |
| アプリケーションの目的 | 必須 | アプリケーションの目的 | 4000 |
| 機密データのタイプ | 必須 | アプリケーションからアクセスできる機密データの種類を一覧表示 | 40 |
| コンプライアンスプログラムのリスト | 必須 | コンプライアンスプログラムのリスト | 4000 |
| テクノロジースタック詳細 | 必須 | テクノロジースタック詳細 | 4000 |
| アプリケーションチーム | 必須 | アプリケーションチーム名。ソフトウェアアプリケーションの開発と保守を担当するグループ | 100 |
| テストする URL | 必須 | テストする URL | 4000 |
| 再現手順 | 必須 | 再現手順 | 1000 以上 |
| 技術的な詳細 | 必須 | 技術的な詳細 | 1000 以上 |
| アサイン先 | 必須 | アサイン先 (ペネトレーションテストの実施とセキュリティ検出結果の生成を担当する個人) | 151 |
| アサイン先グループ | 必須 | アサイン先グループ (ペネトレーションテストの実施とセキュリティ検出結果の生成を担当するグループ) | 151 |