Champs de vulnérabilité de l’application
Les vulnérabilités sont créées automatiquement lorsque les enregistrements sont téléchargés à partir de la base de données de vulnérabilité nationale (NVD), de Common Weakness Enumeration (CWE) ou d’intégrations tierces. NVD et CWE sont stockés dans Bibliothèques dans Réponse aux vulnérabilités ou sous Vulnérabilités dans Réponse aux vulnérabilités des applications.
Champs d’entrée de vulnérabilité CWE
Les champs de cette table sont en lecture seule.
| Champ | Description |
|---|---|
| ID CWE | Identificateur de cette entrée de vulnérabilité. Cet identificateur est utilisé à la fois pour les catégories et les faiblesses, et est unique entre les deux ensembles de données. |
| Nom | Nom descriptif attribué à cet ID CWE. |
| Probabilité d'exploitation | Probabilité d’exploitation de la faiblesse, à l’échelle qualitative. L'un des suivants :
|
| Position dans le top 10 OWASP | Position numérique de cette vulnérabilité dans la liste des 10 premiers de l’OWASP. |
| SANS à la position 25 | Position numérique de cette vulnérabilité dans la liste des 25 premiers SAN. |
| Classe | Type de faiblesse |
| Statut | L'un des suivants :
|
| Abstraction | L'un des suivants :
|
| Mise à jour | Dernière mise à jour de l’enregistrement dans l’instance. |
| Domaines fonctionnels | Liste des domaines fonctionnels affectés. Par exemple, Traitement des fichiers. Renseigné uniquement pour les faiblesses 24/862. |
| Ressources affectées | Liste des ressources affectées. Par exemple, Fichier ou Répertoire. Renseigné uniquement pour les faiblesses 51/863. |
| URL | Article de la base de connaissances associé à cette vulnérabilité. |
| Description | Description de la vulnérabilité. |
| Exécution de l'intégration | Exécution d’intégration dans laquelle cette CWE a été importée. |
| Sections | |
| Informations supplémentaires | Descriptions des concepts logiciels qui expliquent davantage la faiblesse. Comprend:
|
| Méthodes de détection | Détails sur la façon dont vous pouvez détecter cette faiblesse dans une application. |
| Modes d'introduction | Les phases dans lesquelles la faiblesse est introduite, par exemple, la mise en œuvre, l’architecture et la conception, etc. |
| Exemples démonstratifs | Exemples de code de la faiblesse avec les descriptions qui les accompagnent. |
| Atténuations potentielles | Des détails sur la façon de prévenir la faiblesse, y compris la phase du cycle de vie de l’application dans laquelle elle se produit et l’efficacité de l’atténuation. |
| Listes connexes | |
| Relations | CWE associés à cette vulnérabilité. Répertorie les relations entre cette CWE et d’autres. Peut inclure parent/enfant, suit/précède, requiredby/requires (pour les faiblesses composites), CanAlsoBe, PeerOf, MemberOf. |
| Exemples observés | Quelques CVE qui sont représentatives de cette faiblesse. |
| Conséquences courantes | Conséquences d’un exploit réussi, en termes de portée et d’impact. Par exemple : Champ d’application : Confidentialité Impact : lire les données de l’application |
| Adhésions | Adhésions CWE avec cette vulnérabilité. |
| Plateformes applicables | Plateformes associées à cette vulnérabilité. |
| Entrées de vulnérabilité de l'application | Autres entrées de vulnérabilité de l’application associées à l’une. |
| Références externes | Informations sur la vulnérabilité provenant de sources externes. |
Champs d’entrée de vulnérabilité de l’application
| Champ | Description |
|---|---|
| ID | Identificateur de cette entrée de vulnérabilité. |
| Source | Origine de la vulnérabilité : scanner ou test physique. |
| Gravité | Degré de gravité normalisé de cette vulnérabilité. Les cartes de gravité sont fournies pour NVD et avec ServiceNow des intégrations tierces. Pour plus d’informations sur la création ou l’ajustement de cartes de gravité, reportez-vous à la section Mapper automatiquement la gravité d’un élément vulnérable d’application. |
Version 13.0 : CWE primaire Version 12.1 : entrée CWE |
Référence à l’élément Common Weakness Enumeration dans lequel cette vulnérabilité s’intègre le mieux. S’il existe plusieurs CWE associées à la vulnérabilité, la CWE principale est déterminée comme suit :
|
| Nom de catégorie | Classification fournie par l’intégration tierce. Aide à la tâche. |
| Détails des vulnérabilités | |
| Menace | Description de la menace que représente cette vulnérabilité. |
| Description de l'atténuation | Description des mesures qui pourraient être prises pour atténuer la vulnérabilité. |
| Liste connexe | |
| Version 13.0 : CWE |
Liste des CWE associés à cette vulnérabilité. Non applicable pour le Veracode Vulnerability Integration. |
Champs d’entrée NVD
Les données NVD ne sont pas utilisées et Réponse aux vulnérabilités des applications les entrées représentent Réponse aux vulnérabilités uniquement les données.
Les CWE, qui sont utilisés dans Réponse aux vulnérabilités des applications, peuvent pointer vers des entrées NVD, comme exemples de faiblesse, et sont fournis ici à titre informatif uniquement.
| Champ | Description |
|---|---|
| ID | Identificateur de cette entrée de vulnérabilité. |
| Cote de risque | (Masqué lorsqu’aucun élément vulnérable (VI) n’est Réponse aux vulnérabilités associé à la vulnérabilité) Score de risque quantifié séparant les VI en critiques, élevés, moyens, faibles et nuls. |
| Score du risque | (Masqué lorsqu’aucun élément vulnérable n’est associé à la vulnérabilité) Quantité calculée de risque que l’élément vulnérable pose à votre environnement. |
| Gravité | Degré normalisé de gravité de cette vulnérabilité dans Réponse aux vulnérabilités. Les cartes de gravité sont fournies pour NVD et avec ServiceNow des intégrations tierces. Réponse aux vulnérabilités des applications La gravité est dérivée de la gravité source importée et non de NVD. Pour en savoir plus sur le Réponse aux vulnérabilités des applications mappage de sévérité, reportez-vous à la section Mapper automatiquement la gravité d’un élément vulnérable d’application. |
| Existence de l'exploit | Oui, si au moins un exploit est associé à cette vulnérabilité. |
| Niveau de compétence de l'exploit | Niveau de compétence le plus bas requis pour exploiter cette vulnérabilité. |
| Vecteur d'attaque de l'exploit | Vecteur d’attaque le plus vulnérable des exploits pour cette vulnérabilité. |
| VI actifs | (Masqué lorsqu’aucun élément vulnérable n’est associé à la vulnérabilité) Nombre d’éléments vulnérables associés à cette vulnérabilité, n’étant pas à l’état Fermé. Si aucun AVI actif n’est actif pour cette vulnérabilité, la cote de risque et le score de risque ne s’affichent pas. |
| Entrée CWE | Référence à l’élément Common Weakness Enumeration dans lequel cette vulnérabilité s’intègre le mieux selon la NVD. |
| Date de publication | Date de publication de la vulnérabilité. |
| Dernière modification | Date de la dernière modification de la vulnérabilité. |
| Résumé | Description de la vulnérabilité. |
| Détails des vulnérabilités | |
| CVSS v2 | Données CVSS v2 importées |
| CVSS v3 | Données CVSS v3 importées, non disponibles avant 2015. |
| Solution privilégiée | (Masqué lorsqu’aucun élément vulnérable n’est associé à la vulnérabilité) Solution de remplacement la plus élevée de la chaîne, dérivée des solutions référencées dans la vulnérabilité. S’il existe plus d’un remplacement le plus élevé dans la chaîne, aucune valeur n’est fixée. Toute valeur définie manuellement peut être écrasée lors des importations suivantes. La définition manuelle de cette valeur doit être effectuée sur l’élément vulnérable. |
| État du rattrapage (Masqué lorsqu’aucun élément vulnérable n’est associé à la vulnérabilité) |
|
| Exclut les éléments différés | |
| Éléments vulnérables | Nombre d’éléments vulnérables actifs de l’application avec cette vulnérabilité. Ce nombre exclut les éléments vulnérables différés. |
| VI totaux | Nombre total d'éléments vulnérables avec cette vulnérabilité. Ce nombre exclut les éléments vulnérables différés. |
| %VI rattrapés | Pourcentage complet pour le rattrapage des éléments vulnérables avec cette vulnérabilité. Ce nombre exclut les éléments vulnérables différés. |
| Inclut les éléments différés | |
| Éléments vulnérables | Nombre d'éléments vulnérables actifs avec cette vulnérabilité. |
| VI totaux | Nombre total d'éléments vulnérables avec cette vulnérabilité. |
| %VI rattrapés | Pourcentage complet pour le rattrapage des éléments vulnérables avec cette vulnérabilité. |
| Liens connexes | |
| Avant la version 13.0 : Forcer l’importation de la vulnérabilité logicielle Remarque : Supprimé dans la version v13.0 |
(Déconseillé) Recalcule le mappage du produit sur Gestion des actifs logiciels pour ITSM la base des informations de NVD. Met à jour la bibliothèque de logiciels vulnérables. |
| Mettre à jour le statut | Affiche la date et l’heure de la dernière mise à jour. Met à jour les éléments suivants :
|
| Listes connexes | |
| Éléments vulnérables | (Masqué lorsqu’aucun élément vulnérable n’est associé à la vulnérabilité) Éléments vulnérables associés à cette vulnérabilité. |
| Références de vulnérabilité | Informations sur la vulnérabilité provenant de sources externes, citées par NVD. |
| Exploite | Exploits associés à cette vulnérabilité. |
| Solutions | (Masqué lorsqu’aucun élément vulnérable n’est associé à la vulnérabilité) Toutes les Gestion des solutions pour vulnérabilités solutions d’intégration associées à cette vulnérabilité. |
| Version 13.0 : Faiblesses |
Données de faiblesse CWE importées associées à des vulnérabilités et expositions communes (CVE). |
| Version 13.0 : Logiciel vulnérable |
(Masqué lorsqu’aucun élément vulnérable n’est associé à la vulnérabilité) Données CPE (Common Platform Enumeration) importées associées à la vulnérabilité. |