Felder für angreifbare Anwendungselemente
Angreifbare Elemente in der Anwendung (Application Vulnerability Items, AVITs) werden während des Imports von Drittpartei-Schwachstellenintegrationen automatisch erstellt.
Felder für angreifbare Anwendungselemente
Mit Ausnahme der Felder Zuweisungsgruppe, Zugewiesen an und Notizensind alle anderen Felder in der AVIT schreibgeschützt.
| Feld | Beschreibung |
|---|---|
| Nummer | Automatisch generierter AVIT-Bezeichner für diesen Datensatz. |
| Überprüfungstyp | Typ des Scanners, der diese AVIT gefunden hat. Die Auswahlmöglichkeiten lauten wie folgt:
|
| Risikobewertung | Quantifizierte Risikopunktzahl, die angreifbare Elemente in „Kritisch“, „Hoch“, „Mittel“, „Niedrig“ und „Keine“ unterteilt. Weitere Informationen zu Risikoeinstufungen finden Sie unter Risiko in Application Vulnerability Response automatisch berechnen. |
| Risikopunktzahl |
Berechnetes Risiko, das die AVI für Ihre Umgebung darstellt. Weitere Informationen finden Sie unter Risiko in Application Vulnerability Response automatisch berechnen. |
| Datum der Korrekturzusage | Das Datum, an dem AVITs korrigiert werden sollten, nachdem sie in „Wird untersucht“verschoben wurden. Dieses Feld wird nur angezeigt, wenn sich die AVIT im Status „Wird untersucht“befindet. |
| Korrekturziel | Datum, bis zu dem die AVITs korrigiert werden sollten, ab der ersten Identifizierung. Wird nur angezeigt, wenn zutreffend. Weitere Informationen zu Korrekturzielen finden Sie unter Automatisieren Sie die Nachverfolgung von Korrekturzielen in Application Vulnerability Response. |
| Korrekturstatus |
Status der Korrektur für AVIT. Sie wird von der AVIT mit dem nächsten Fälligkeitsdatum bestimmt, falls zutreffend. Status umfassen:
|
| Kategoriename | Name der Kategorie der Schwachstelle. |
| Schwachstelle | ID der Schwachstelle, die diesem angreifbaren Anwendungselement zugeordnet ist. |
| Anwendungs-Release | Version der Anwendung. |
|
Anwendungsmodul |
Betroffene Anwendung im DAST-Scan. Für SAST-Scans ausgeblendet. |
| Standort Version 14.0: SAST |
DAST: URL-Speicherort der Schwachstelle in der Anwendung. SAST: Dateipfad und Zeilennummer der Schwachstelle in der Anwendung. |
| Status | Dieses Feld wird bei der Erstellung standardmäßig auf Öffnen gesetzt. Weitere Informationen zur Zuordnung von Status finden Sie unter Status des angreifbaren Elements in der Anwendung (Application Vulnerable Item, AVI).. |
| Grund | [Nur sichtbar, wenn sich das AIV im Status „Geschlossen “ befindet.] Erklärung des Status. |
| Zuweisungsgruppe | Gruppe für die Bearbeitung dieses AVIT ausgewählt. Können manuell von einem App-Sec-Manager hinzugefügt oder bearbeitet werden. |
| Zugewiesen an | Einzelperson aus der ausgewählten Zuweisungsgruppe, die an diesem AVI arbeitet. Können manuell von einem App-Sec-Manager hinzugefügt oder bearbeitet werden |
| Zuerst gefunden | Datum, an dem die Drittanbieterquelle das angreifbare Anwendungselement zum ersten Mal gefunden hat. |
| Zuletzt gefunden | Datum, an dem die Drittanbieterquelle das angreifbare Anwendungselement zuletzt gefunden hat. |
| Abgeschlossen | [Nur sichtbar, wenn sich die AVIT im Status „ Geschlossen“ befindet.] Datum, an dem die AVI geschlossen wurde. |
| Geschlossen von | [Nur sichtbar, wenn sich die AVIT im Status „ Geschlossen “ befindet.] Entität, die die AVIT geschlossen hat. |
| Zusammenfassung | Importierte Beschreibung der Schwachstelle. |
| Ergebnisse Schreibgeschützte Daten, die aus einer Drittanbieterintegration importiert werden. |
|
| AVIT-ID der Quelle | Importierter Identifier für die AVIT-Quelle. |
| Quellenschweregrad | Aus der Quellanwendung importierter Schweregrad. |
| Zieldatum für Quellenkorrektur | Importdatum, bis zu dem die Quelle eine Korrektur der AVIT erwartet. |
| Quellenminderungsstatus | Importierter Risikominderungsstatus aus der Quellanwendung. |
| Quellenkorrekturstatus | Korrekturstatus aus der Quellanwendung importiert. |
| Quellermittlungsstatus | [Nur sichtbar, wenn ausgefüllt] Importierter Problemstatus aus der Quellanwendung. |
| SDLC-Status | Importierter Status des Software-Entwicklungs-Lebenszyklus. |
| Entspricht der Richtlinie | Importierter Compliance-Status. Wenn kein Status angegeben wird, wird dieses Feld auf „Nicht zutreffend“festgelegt. |
| Quell-Link | URL zur AVIT-Quelle. |
| Quellhinweise | Notizen aus der Quelle importiert. |
| Schwachstellenzusammenfassung | Zusammenfassung aus der Quelle importiert. |
| Erklärung der Schwachstelle | Erklärung aus der Quelle importiert. |
| Empfehlung | Empfehlung aus der Quelle importiert. |
| Referenzen | Referenzen aus der Quelle importiert. |
| HTTP-Anforderung/-Antwort (nur bei DAST-Scans sichtbar) | |
| Quellenanforderung | HTTP-Anforderung |
| Quellenantwort | HTTP-Antwort |
| Notizen | |
| Korrekturplan | Details dazu, wie die AVITs korrigiert werden. Der Plan sollte bis zum Datum der Korrekturzusageimplementiert werden. Dieses Feld wird nur angezeigt, wenn sich die AVIT im Status „Wird untersucht“befindet. |
| Zusätzliche Kommentare/Arbeitsnotizen | Alle relevanten Informationen. Wählen Sie das Textfeld für Arbeitsnotizen aus, um Informationen hinzuzufügen. Ab Vulnerability Response v20.0 können Sie im Abschnitt „Notizen“ für ein zurückgestelltes angreifbares Anwendungselement Arbeitsnotizen hinzufügen. |
- Die Spalte „Alter“ in der AVIT-Liste zeigt an, wie lange (Format: Tage HH:MM:SS) ein AVIT aktiv ist. Der Alterswert für eine geschlossene AVIT ist 0.
- Die Spalte „Alter geschlossener“ in der AVIT-Liste zeigt die Dauer (Format: Tage HH:MM:SS) an, für die ein AVI aktiv ist, bevor es geschlossen wird. Für AVITs, die sich nicht im Status „Geschlossen“ befinden, ist der Wert „Alter geschlossen“ 0.
Weitere Informationen zum Anpassen der Berechnung des Alters und der Schließdauern finden Sie im Artikel KB1703270.