Penetrationstestbewertungsanforderung aus vorhandenen Anforderungen erstellen (v19.0)

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 4 Minuten Lesedauer

    • Ab v19.0 erstellen Sie Penetrationstestbewertungsanforderungen direkt aus der Liste der vorhandenen Anforderungen. Sie können auch vorhandene Anforderungen im Status Geschlossen in dieser Liste kopieren, um Anforderungen zu erstellen.

    Vorbereitungen

    Erforderliche Rolle: App-Sec-Manager

    Warum und wann dieser Vorgang ausgeführt wird

    Ab v19.0 von Vulnerability Response, Wenn Sie verwenden Veracode Vulnerability Integration, Die Penetrationstest-Tests in Veracode Vulnerability Integration Sind manuelle Ergebnisse von Veracode. Sie sind nicht mit Penetrationstestbewertungsanforderungen verknüpft, die Sie in konfigurieren Application Vulnerability Response. Für weitere Informationen zu Penetrationstestbewertungen von Veracode, Siehe Veracode Vulnerability Integration.

    Prozedur

    1. Navigieren zu Alle > Anforderungen für Penetrationstestbewertung > Allean.
    2. Wahlweise: Alternativ können Sie eine Anforderung erstellen, indem Sie geschlossene Anforderungen replizieren.
      Alle Werte aus der ursprünglichen Anforderung werden im neuen Formular beibehalten. Aktive angreifbare Anwendungselemente (Avis) werden automatisch in die neue Anforderung kopiert. Wählen Sie Aus Kopieren Und Anforderung Erstellen Aus Datensätzen im Status „Geschlossen“.
    3. Wählen Sie Neu, und füllen Sie die Felder aus.
      Tabelle : 1. Formular „Bewertungsanforderung für Penetrationstests“
      Feld Beschreibung
      Anzahl Eindeutiger Bezeichner, der für die Anforderung zur Bewertung des Penetrationstests generiert wurde.
      Status Wählen Sie einen Wert basierend auf dem Status der Anforderung aus.
      Angefordert von Person, die die Bewertung der Anwendung anfordert.
      Zuweisungsgruppe Gruppe ausgewählt, um die Penetrationstestergebnisse zu bearbeiten. Kann manuell von einem App-Sec-Manager hinzugefügt oder bearbeitet werden.

      Informationen zum Konfigurieren von Gruppen finden Sie unter Penetrationstests konfigurieren.
      Anwendung Wählen Sie mithilfe der Suchoption eine Anwendung aus.
      Zugewiesen an Einzelperson aus der ausgewählten Zuweisungsgruppe, die an den Penetrationstestergebnissen arbeitet. Kann manuell von einem App-Sec-Manager hinzugefügt oder bearbeitet werden.
      Anwendungstyp Wählen Sie eine Option aus:
      • Webservice (bekannt als API vor v16.1)
      • Web-Anwendung
      • Thick Client
      • Mobil (wenn Sie auswählen Mobil , Die Registerkarte Mobile wird unten im Formular mit zusätzlichen Feldern angezeigt)
      Sprint Zeigt die Sprints mit verfügbarer Bandbreite an, um die Bewertungsanforderung basierend auf dem Feld „ausgewählter Bewertungstyp“ zu erfüllen.

      Siehe Konfigurieren Sie Sprints für Penetrationstests Und Konfigurieren Sie Bewertungstypen für Penetrationstests Weitere Informationen zum Ändern der Sprint-Kapazität und des Testumfangs.
      V19.0: Anwendungsgröße Wählen Sie die Größe der Anwendung aus, die Sie testen möchten.
      • Klein
      • Mittel
      • Groß
      • Standard (wählen Sie diese Option aus, wenn Sie sich über die Größe nicht sicher sind)

      Weitere Informationen Penetrationstests konfigurieren Weitere Informationen zum Ändern der Sprint-Kapazität und des Testumfangs mit Anwendungsgröße und Sprint-Kapazität.
      Erstellt Datum und Uhrzeit der Erstellung der Anforderung.
      Bewertungstyp Wählen Sie den Typ der Bewertung aus:
      • Vollständiger Penetrationstest
      • Fokussierter Test
      • Erneut testen
      Weitere Informationen zu Testkombinationen und Testumfang finden Sie unter Konfigurieren Sie Bewertungstypen für Penetrationstests.
      Aktualisiert Datum und Uhrzeit der letzten Aktualisierung der Anforderung.
      Demo-Datum Datum, an dem diese Anwendung demonstriert werden kann.
      Produktbereitstellung geplant am Geplantes Datum für die Bereitstellung dieser Anwendung in der Produktion.
      Anwendungsversion/-release für die Bereitstellung geplant Version der Anwendung, die für die Produktionsbereitstellung geplant ist.
      V19.0: Anwendung im Besitz eines Drittanbieters oder einer Joint-Venture-Registerkarte

      Wenn Sie für dieses Feld Ja auswählen, wird die Registerkarte Lieferanten-/Joint Venture-Informationen angezeigt. Füllen Sie die zusätzlichen Felder aus.
      Ist eine Klausel vorhanden, die es uns ermöglicht, Pen-Tests durchzuführen? Der Begriff „Klausel“ kann sich auf Standards für Tests beziehen, die alle Vereinbarungen enthalten, die zwischen zwei oder mehr Parteien bestehen, die Sie hinzufügen möchten. Wenn Sie auswählen Ja , Fügen Sie die Klausel hinzu.
      Die Klausel, die die Berechtigung zum Durchführen von Pen-Tests angibt
      Vollständiger offizieller Name und Adresse des Lieferanten
      Angriffserkennungssystem
      Technischer Kontakt des Lieferanten
      Wurden die protokollierten Informationen von böswilligen Aktivitäten überprüft?
      Wird die Anwendung von einem anderen Drittanbieter gehostet?
      Kontakt des Lieferanten, der den Pen-Test abzeichnet
      Registerkarte „Anwendungsdetails“
      Zweck der Anwendung Beschreibung der Funktionalität der Anwendung.
      Details des Technologiestapels Komplettieren Sie den Technologiestapel vom Front-End zum Back-End, Datenbanken und andere Schlüsseltechnologien.
      Ist Drittpartei-Anwendung? Bestätigt, ob diese Anwendung im Besitz eines Drittlieferanten ist.
      Listet die Arten sensibler Daten auf, auf die über die Anwendung zugegriffen werden kann. Typen vertraulicher Daten, auf die über die Anwendung zugegriffen werden kann. Zum Beispiel personenbezogene Daten, PHI-Daten und Finanzdaten wie Kreditkartennummern.
      Authentifizierungstyp Gibt an, ob diese Anwendung LDAP-Authentifizierung, eine eigene native Authentifizierung oder andere Authentifizierungsformen verwendet.
      Fällt die Anwendung unter ein Compliance-Programm? Gibt an, ob sich diese Anwendung auf Compliance-Programme wie PCI auswirkt.
      Kontakte im Anwendungsteam Mitglieder des Anwendungsteams, die vom Team für ethische Hacker bei Fragen kontaktiert werden sollen.
      Liste der Compliance-Programme
      Zugehörige Schnittstellen oder Anwendungen von Drittparteien
      IP-Adresse
      Ungefähre Anzahl der Anwender in der Produktion?
      Automatisiertes Skript vorhanden?
      Die Produktionsversion dieser App ist extern ausgerichtet?
      v 19.0: Geschäftsauswirkung
      Finanzieller Schaden Wählen Sie einen aus der Liste aus.
      Nichteinhaltung Wählen Sie einen aus der Liste aus.
      Reputationsschaden Wählen Sie einen aus der Liste aus.
      Datenschutzverletzung Wählen Sie einen aus der Liste aus.
      Registerkarte „Testdetails“
      Zu testende URLs URLs, die in Penetrationstests einbezogen werden müssen.
      Auszuschließende URLs URLs, die von Penetrationstests ausgeschlossen werden müssen.
      Wurde diese Anwendung zuvor getestet? Gibt an, ob diese Anwendung bereits Penetrationstests unterzogen wurde.
      Grund für erneuten Test Grund für die Anforderung einer Neubewertung des Penetrationstests, wenn die Anwendung zuvor getestet wurde.
      Wann wurde die Anwendung getestet? Zeitrahmen, in dem die Anwendung Penetrationstests durchgeführt wurde.
      Details des Test-Accounts Details des Test-Accounts, der vom Ethical Hacking-Team für Penetrationstests verwendet werden kann.
      Anwendungsrollen Rollen, die von der Anwendung für ihre Anwender unterstützt werden.
      Meistverwendete Rollen Am häufigsten verwendete Rollen in der Anwendung.
      Registerkarte „zusätzliche Kommentare“
      Arbeitsnotizen
    4. Wählen Sie Aus Speichern Um Ihre Bearbeitungen oder zu speichern Übermitteln Um die Anforderung zu initiieren.