アプリケーション脆弱性対応 の脆弱性を修復する
修復の監視は、ステータスの確認で始まり、アプリケーション脆弱性一致アイテム (AVIT) のクロージングで終わるプロセスです。アプリケーション脆弱性対応は、そのプロセスをより生産的かつ効率的に行うたのツールと手順を提供します。
アプリケーション脆弱性対応 修復プロセス
アプリケーション脆弱性一致アイテムの修復は手動で行われます。
- アプリケーション脆弱性対応 インスタンスにログインします。
- アプリケーション脆弱性一致アイテムのルール (CI ルックアップ、アサイン) が期待どおりに機能していることを検証します。CI ルックアップルールの変更については、「アプリケーション脆弱性対応 でアプリケーションを自動的に識別する」を参照してください。アサインルールについては、「アプリケーション脆弱性対応 のアプリケーション脆弱性一致アイテムを自動的にアサインする」を参照してください。
- 修復ターゲットが正しいことを検証します。修復ターゲットルールの仕組みと修復方法については、「アプリケーション脆弱性対応 で修復ターゲットトラッキングを自動化する」を参照してください。アプリケーション脆弱性一致アイテムの修復ターゲットのステータスを表示する。注:修復ターゲットルールは AVIT に属します。これらのルールは、AVIT のインポート時に実行されます。
- ダッシュボードまたはレポートを確認します。たとえば、状況別に AVIT の経過時間を示すダッシュボードを表示します。注:
脆弱性対応のパフォーマンスアナリティクス アプリケーション (com.snc.vulnerability.analytics) がアクティブ化されている場合、特定のロールを持つユーザーは、アプリセキュリティマネージャーおよびセキュリティチャンピオンの各グループのメンバーが関心のあるデータを表示できます。
アプリセキュリティマネージャーの場合、脆弱性対応のパフォーマンスアナリティクス には アプリケーション脆弱性対応 の概要が含まれており、関心のある領域を監視するのに役立ちます。「アプリケーション脆弱性対応のアナリティクスおよびレポートのソリューション」および「アプリケーションの脆弱性管理 (PA) ダッシュボード」を参照してください。
脆弱性対応 アプリケーションのバージョン 13.0 以降:セキュリティチャンピオンの場合、脆弱性対応のパフォーマンスアナリティクス に [自分のアプリケーションの脆弱性] ダッシュボードが含まれており、関心のある領域を監視するのに役立ちます。「自分のアプリケーションの脆弱性ダッシュボード」を参照してください。
脆弱性対応 アプリケーションのバージョン 13.0 以降:レポートまたは関連リストに対してコレクションされるデータの量を制限するには、「脆弱性対応 レポートおよび関連リストのサービス分類の定義」を参照してください。
- AVIT のステータスを優先度順に確認し、変更内容を検索します。
- 必要に応じて、AVIT のリスクを変更します。詳細については、「アプリケーション脆弱性算出を作成する」を参照してください。
- 必要に応じて、修復のために AVIT をアサイン先グループに再アサインします。
- 再スキャンは、サードパーティのスケジュール済みインポートによって自動的にトリガーされます。
- スキャン後、ステータスが [修復済み (Fixed)] の場合、インポート時に AVIT が自動的にクローズされます。
- スキャン後、ステータスが [修復済み (Fixed)] ではない場合、AVIT が再オープンされます。
Veracode から詳細を取得
次の Veracode データを表示する場合、アプリケーション脆弱性一致アイテム [sn_vul_app_vulnerable_item] テーブルまたは脆弱性対応ワークスペースのリストビューから、ソースとして Veracode を有するアプリケーション脆弱性一致アイテム (AVIT) の [詳細を取得 (Get More Details)] を選択します。
- 動的アプリケーションセキュリティテスト (DAST) スキャンに関する HTTP ソース要求およびソース応答の詳細が、HTTP 要求/応答の関連リストに表示されます。
- Veracode からのソリューション推奨事項が [検索結果] 関連リストに表示されます。
- HTTP ソース要求、ソース応答、および推奨事項は、脆弱性対応 脆弱性対応 ワークスペースの [詳細] タブに表示されます。
- [説明] 列は、アプリケーション脆弱性一致アイテム [sn_vul_app_vulnerable_item] テーブルでサポートされています。