Felder für angreifbare Anwendungselemente
Während des Imports von Drittpartei-Schwachstellenintegrationen werden in der Anwendung automatisch angreifbare Elemente (Application Vulnerability Items, AVIs) erstellt.
Felder für angreifbare Anwendungselemente
Mit Ausnahme der Felder Zuweisungsgruppe, Zugewiesen an und Notizensind alle anderen Felder im AVI schreibgeschützt.
| Feld | Beschreibung |
|---|---|
| Nummer | Automatisch generierter AVI-Bezeichner für diesen Datensatz. |
| Überprüfungstyp | Typ des Scanners, der dieses AVI gefunden hat. Die Auswahlmöglichkeiten lauten wie folgt:
|
| Risikobewertung | Quantifizierte Risikopunktzahl, die angreifbare Elemente in „Kritisch“, „Hoch“, „Mittel“, „Niedrig“ und „Keine“ unterteilt. Weitere Informationen zu Risikoeinstufungen finden Sie unter Risiko in Application Vulnerability Response automatisch berechnen. |
| Risikopunktzahl | Berechnetes Risiko, das die AVI für Ihre Umgebung darstellt. Weitere Informationen finden Sie unter Risiko in Application Vulnerability Response automatisch berechnen. |
| Datum der Korrekturzusage | Das Datum, an dem AVIskorrigiert werden sollten, nachdem sie in den Status „Wird untersucht“ verschoben wurden. Dieses Feld wird nur angezeigt, wenn sich die AVI im Status „Wird untersucht“ befindet. |
| Korrekturziel | Datum, bis zu dem die AVIs korrigiert werden sollten, ab der ersten Identifizierung. Wird nur angezeigt, wenn zutreffend. Weitere Informationen zu Korrekturzielen finden Sie unter Automatisieren Sie die Nachverfolgung von Korrekturzielen in Application Vulnerability Response. |
| Korrekturstatus | Status der Korrektur für AVI. Sie wird vom AVI mit dem nächstgelegenen Fälligkeitsdatum bestimmt, falls zutreffend. Status umfassen:
|
| Kategoriename | Name der Kategorie der Schwachstelle. |
| Schwachstelle | ID der Schwachstelle, die diesem angreifbaren Anwendungselement zugeordnet ist. |
| Anwendungs-Release | Version der Anwendung. |
Anwendungsmodul |
Betroffene Anwendung im DAST-Scan. Für SAST-Scans ausgeblendet. |
| Standort Version 14.0: SAST |
DAST: URL-Speicherort der Schwachstelle in der Anwendung. SAST: Dateipfad und Zeilennummer der Schwachstelle in der Anwendung. |
| Status | Dieses Feld wird bei der Erstellung standardmäßig auf Öffnen gesetzt. Weitere Informationen zur Zuordnung von Status finden Sie unter Status des angreifbaren Elements in der Anwendung (Application Vulnerable Item, AVI).. |
| Grund | [Nur sichtbar, wenn sich das AIV im Status „ Geschlossen “ befindet.] Erklärung des Status. |
| Zuweisungsgruppe | Gruppe für die Arbeit an diesem AVI ausgewählt. Können manuell von einem App-Sec-Manager hinzugefügt oder bearbeitet werden. |
| Zugewiesen an | Einzelperson aus der ausgewählten Zuweisungsgruppe, die an diesem AVI arbeitet. Können manuell von einem App-Sec-Manager hinzugefügt oder bearbeitet werden |
| Zuerst gefunden | Datum, an dem die Drittanbieterquelle das angreifbare Anwendungselement zum ersten Mal gefunden hat. |
| Zuletzt gefunden | Datum, an dem die Drittanbieterquelle das angreifbare Anwendungselement zuletzt gefunden hat. |
| Geschlossen | [Nur sichtbar, wenn sich die AVI im Status „ Geschlossen “ befindet.] Datum, an dem die AVI geschlossen wurde. |
| Geschlossen von | [Nur sichtbar, wenn sich die AVI im Status „ Geschlossen “ befindet.] Entität, die die AVI geschlossen hat. |
| Zusammenfassung | Importierte Beschreibung der Schwachstelle. |
| Ergebnisse Schreibgeschützte Daten, die aus einer Drittanbieterintegration importiert werden. |
|
| AVIT-ID der Quelle | Importierter Identifier für das Quell-AVI. |
| Quellenschweregrad | Aus der Quellanwendung importierter Schweregrad. |
| Zieldatum für Quellenkorrektur | Importdatum, bis zu dem die Quelle eine Korrektur der AVI erwartet. |
| Quellenminderungsstatus | Importierter Risikominderungsstatus aus der Quellanwendung. |
| Quellenkorrekturstatus | Korrekturstatus aus der Quellanwendung importiert. |
| Quellermittlungsstatus | [Nur sichtbar, wenn ausgefüllt] Importierter Problemstatus aus der Quellanwendung. |
| SDLC-Status | Importierter Status des Software-Entwicklungs-Lebenszyklus. |
| Entspricht der Richtlinie | Importierter Compliance-Status. Wenn kein Status angegeben wird, wird dieses Feld auf „ Nicht zutreffend“ festgelegt. |
| Quell-Link | URL zum Quell-AVI. |
| Quellhinweise | Notizen aus der Quelle importiert. |
| Schwachstellenzusammenfassung | Zusammenfassung aus der Quelle importiert. |
| Erklärung der Schwachstelle | Erklärung aus der Quelle importiert. |
| Empfehlung | Empfehlung aus der Quelle importiert. |
| Referenzen | Referenzen aus der Quelle importiert. |
| HTTP-Anforderung/-Antwort (nur bei DAST-Scans sichtbar) | |
| Quellenanforderung | HTTP-Anforderung |
| Quellenantwort | HTTP-Antwort |
| Notizen | |
| Korrekturplan | Details dazu, wie die AVIs korrigiert werden. Der Plan sollte bis zum Datum der Korrekturzusageimplementiert werden. Dieses Feld wird nur angezeigt, wenn sich die AVI im Status „Wird untersucht“ befindet. |
| Zusätzliche Kommentare/Arbeitsnotizen | Alle relevanten Informationen. Wählen Sie das Textfeld für Arbeitsnotizen aus, um Informationen hinzuzufügen. Ab Vulnerability Response v20.0 können Sie im Abschnitt „Notizen“ für ein zurückgestelltes angreifbares Anwendungselement Arbeitsnotizen hinzufügen. |