취약성 정정 애플리케이션 취약성 대응
정정 모니터링은 상태 검토로 시작하여 애플리케이션 취약한 항목(AVIT)을 종결하는 것으로 끝나는 프로세스입니다. 애플리케이션 취약성 대응 는 해당 프로세스의 생산성과 효율성을 높이기 위한 도구와 절차를 제공합니다.
애플리케이션 취약성 대응 정정 프로세스
애플리케이션 취약한 항목 정정은 수동으로 수행됩니다.
- 애플리케이션 취약성 대응 인스턴스에 로그인합니다.
- 애플리케이션 취약한 항목에 대한 규칙(CI 조회, 할당)이 예상대로 작동하는지 확인합니다. CI 조회 규칙 수정에 대한 자세한 내용은 다음 문서를 참조하십시오 에서 애플리케이션 취약성 대응 애플리케이션 자동 식별. 담당 규칙에 대한 자세한 내용은 다음 문서를 참조하십시오 에서 애플리케이션 취약 항목 애플리케이션 취약성 대응 자동 할당.
- 정정 대상이 올바른지 확인합니다. 정정 대상 규칙의 작동 방식과 이를 수정하는 방법에 대한 자세한 내용은 을 참조하십시오에서 정정 대상 추적 자동화 애플리케이션 취약성 대응. 애플리케이션 취약한 항목의 정정 대상 상태 보기주:정정 대상 규칙은 AVIT에 속합니다. 이러한 규칙은 AVIT를 임포트할 때 실행됩니다.
- 대시보드 또는 보고서를 검토합니다. 예를 들어 상태별 AVIT 에이징을 보여주는 대시보드를 볼 수 있습니다.주:
애플리케이션(com.snc.vulnerability.analytics)이 취약성 대응용 퍼포먼스 분석 활성화되면 특정 역할을 가진 사용자는 App-Sec 관리자 및 보안 챔피언 그룹의 구성원이 관심 있는 데이터를 볼 수 있습니다.
App-Sec 관리자의 경우 취약성 대응용 퍼포먼스 분석 관심 영역을 모니터링하는 데 도움이 될 수 있는 개요가 포함되어 애플리케이션 취약성 대응 있습니다. 애플리케이션 취약성 대응을 위한 분석 및 보고 솔루션 및 애플리케이션 취약성 관리[PA] 대시보드를 참조하십시오.
애플리케이션 버전 13.0 취약성 대응 부터: 보안 챔피언 취약성 대응용 퍼포먼스 분석 의 경우 관심 영역을 모니터링하는 데 도움이 될 수 있는 내 애플리케이션 취약성 대시보드가 포함되어 있습니다. 내 애플리케이션 취약성 대시보드를 참조하십시오.
애플리케이션 버전 13.0 취약성 대응 부터: 보고서 또는 관련 목록에 대해 수집되는 데이터의 양을 제한하려면 을 참조하십시오 보고 및 관련 목록에 대한 취약성 대응 서비스 분류 정의.
- AVIT의 상태를 우선순위에 따라 검토하고 변경된 내용을 검색합니다.
- 필요에 따라 AVIT에 대한 위험을 수정합니다. 자세한 내용은 애플리케이션 취약성 계산기 생성 문서를 참조하십시오.
- 필요한 경우 정정을 위해 할당 그룹에 AVIT를 재할당합니다.
- 다시 스캔은 외부 공급업체 임포트 일정에 따라 자동으로 트리거됩니다.
- 재스캔 후 상태가 고정이면 임포트 중에 AVIT가 자동으로 종결됩니다.
- 스캔 후 상태가 수정되지 않은 경우 AVIT가 다시 열립니다.
다음에서 자세한 내용 가져오기 Veracode
소스로 있는 AVIT(애플리케이션 취약 항목)Veracode에 대한 자세한 내용 가져오기를 선택하면 애플리케이션 취약 항목 [sn_vul_app_vulnerable_item] 테이블 또는 취약성 대응 작업 공간의 목록 뷰에서 다음 Veracode 데이터를 볼 수 있습니다.
- 동적 애플리케이션 보안 테스트(DAST) 스캔에 대한 HTTP 소스 요청 및 소스 응답 상세 정보가 HTTP 요청/응답 관련 목록에 표시됩니다.
- Veracode의 솔루션 권장 사항이 결과 관련 목록에 표시됩니다.
- HTTP 소스 요청, 소스 응답 및 권장 사항이 취약성 대응 취약성 대응 작업 공간의 상세 정보 탭에 표시됩니다.
- 설명 열은 애플리케이션 취약 항목 [sn_vul_app_vulnerable_item] 테이블에서 지원됩니다.